加密使用者的檔案來進行勒索的木馬Trojan.Ramvicrype

病毒名稱：Trojan.Ramvicrype
病毒類型：木馬
受影響的作業系統：Windows 95/98/2000/Me/XP/Vista/NT, Windows Server 2003

病毒分析：

近期賽門鐵克安全回應中心檢測到一種十分狡猾並以勒索使用者為目的的木馬Trojan.Ramvicrype。

Trojan.Ramvicrype透過新增登錄表 (registry key)以達到開機自動啟動的目的；並將自身複製到使用者電腦的多個目錄下，以隱藏自身使其不易被完全清除。該木馬會將用戶電腦中“我的文件”、“桌面”等目錄下的所有檔案的尾碼名修改為.vicrypt，並且對這些檔案進行加密，讓使用者無法使用這些被它加密的檔案。同時，該木馬還會搜尋使用者電腦上最近打開過的檔案記錄，加密這些使用者最近使用過的檔案。

與之前的勒索病毒不同的是，該木馬不會直接向使用者提供解決方案來勒索費用（如快顯視窗提示使用者），而是透過將受感染檔案尾碼名修改為. vicrypt ，“暗示”用戶使用搜尋引擎搜索“vicrypt”這個關鍵字，將使用者引導到提供該病毒有償解決方案的公司。

Trojan.Ramvicrype主要通過一些免費軟體進行傳播。

諾頓安全專家建議：

1. 使用全新2010版諾頓安全軟體，獨創信譽評級的全球智慧雲端防護，並使用賽門鐵克的全球安全智慧型網路，即時對來自網路的應用程式進行判斷，協助使用者抵禦最新威脅。
2. 建議使用者不要輕易從網路下載來歷不明的免費軟體。
3. 沒有安裝防毒軟體的使用者可至http://tw.symantecstore.com下載諾頓360 3.0試用版對病毒進行掃毒。
4. 使用諾頓2006版本及之後產品的現有使用者，可以免費將產品升級至諾頓2010版本，升級網址http://www.symantec.com.tw/nuc。