该木马程序以敲诈勒索钱财为目的,使得感染该木马的计算机用户系统中的指定数据文件被恶意隐藏,造成用户数据丢失。截至目前为止,在国内已经出现了因感染该木马程序而导致计算机系统数据文件丢失的情况。
病毒名称:敲诈者(Trojan.Disclies.e)
病毒类型: 木马程序
感染系统:Windows 9X/Me/NT/2000/XP
病毒介绍:
该木马程序运行后,可恶意隐藏计算机用户系统中的文档,同时在系统里出现可以帮助计算机用户修复丢失掉的数据信息的文本文件“拯救磁盘.txt”,目的是向受感染的计算机用户索取钱财。
1、生成病毒文件
计算机用户一旦受到该木马程序的感染,会在系统目录%System%下生成自身的拷贝,名称为redplus.exe。(其中,%System%在Windows 95/98/Me 下为C:\Windows\System,在Windows NT/2000下为C:\Winnt\System32,在Windows XP下为 C:\Windows\System32)
2、生成文本文件“拯救硬盘.txt”
木马程序进入受感染计算机用户的系统以后,会在“开始\所有程序\启动”里生成一个文本文件“拯救硬盘.txt”,其内如如下:
“1、你的硬盘资料丢失了......
2、你必须使用磁盘修复工具......
…………
7、按以上方法做的,一定能修复的资料包括:”
当用户按照“拯救磁盘.txt”中描述的步骤,运行redplus.exe后,会显示“……如何获得正版软件的序列号?必须按一下方法做”
3、隐藏文档
该木马程序一旦被运行以后,会在计算机系统根目录下建立属性为系统、隐藏和只读的备份文件夹“控制面板”,同时它会搜索计算机系统中所有后缀名为.xls、.doc、.mdb、.ppt、.wps的文件,找到后把这些文件移动到备份文件夹中,这样计算机用户的数据文件就被隐藏起来,表面上看起来是系统中上述文件丢失了,已达到向受感染的计算机用户索取钱财的目的。
4、终止进程
该木马程序运行时,还会试图终止除几个系统进程之外的所有系统正在运行的进程程序。如果计算机系统中装有反病毒软件和一些病毒分析工具,木马也会将其进程终止,以达到保护自己的目的。
手动解决方法:
1、打开工具选项—〉文件夹选项—〉选择显示所有文件和文件夹并且将隐藏受保护的操作系统文件前的√去掉。
2、将根目录下的名为“控制面板”隐藏文件夹用WinRAR压缩,然后启动WinRAR,切换到该文件夹的上级文件夹,右键单击该文件夹,在弹出菜单中选择"重命名"。
3、去掉文件夹名“控制面板”后面的ID号{21EC2020-3AEA-1069-A2DD-08002B30309D},即可变为普通文件夹了;也可直接进入该文件夹找回丢失的文件。