Saját nevével tetszeleg a Hermes zsaroló program

A Hermes zsaroló program fájlokat titkosít, majd váltságdíjat követel a felhasználóktól a helyreállításhoz szükséges információkért.
 

A Hermes zsaroló programnak is egyetlen célja van: pénzzel tömni a csalók zsebét. Ehhez a fertőzött rendszereken titkosítja a dokumentumokat, multimédiás állományokat, adatbázisokat és egyéb felhasználói fájlokat, majd megzsarolja a számítógép tulajdonosát. Közli, hogy erős, RSA-alapú titkosítást használ, amit nem lehet visszafejteni a dekódoló kulcsok nélkül.
 
A kártékony program fontos jellemzője, hogy - sok egyéb ransomware-től - eltérően nem módosítja a kompromittált fájlok kiterjesztését. Ehelyett a titkosított állományok végéhez hozzáfűzi a "HERMES" karaktersorozatot, amiről a nevét is kapta. Így jelöli meg azokat a fájlokat, amelyekkel már nem kell foglalkoznia a jövőben.
 
A követelések teljesítése ez esetben sem javasolt, annál is inkább, mivel biztonsági kutatók nagyon reményteljes megoldásokat fejlesztettek ki a Hermes által okozott károk felszámolásához.
 
Amikor a Hermes zsaroló program elindul, akkor az alábbi műveleteket hajtja végre:
 
1. Létrehozza a következő állományokat:
%AllUsersProfile%\Reload.exe
%AllUsersProfile%\shade.bat
%AllUsersProfile%\system_.bat
 
2. A regisztrációs adatbázishoz hozzáadja az alábbi értéket:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\allkeeper
 
3. Felkutatja, majd titkosítja a következő kiterjesztésekkel rendelkező állományokat:
.1cd
.7z
.accdb
.ai
.arw
.bmp
.cd
.db
.dbf
.doc
.docm
.docx
.eql
.jpe
.jpeg
.jpg
.php
.rar
.sql
.tif
.txt
.xls
.xlsb
.xlsm
.xlsx
.zip
 
4. A titkosított fájlok végéhez hozzáfűzi a HERMES karaktersorozatot.
 
5. Minden olyan mappába, amelyben legalább egy fájlt titkosított, bemásolja a következő állományokat:
DECRYPT_INFORMATION.html
UNIQUE_ID_DO_NOT_REMOVE
 
6. Megjeleníti a követeléseit.