فيروس الكمبيوتر الجديد الابتزاز. ما هو الفيروس الابتزاز؟ كيف يصاب الكمبيوتر مع Decryptor Wana

وفقا لمختبرات Kaspersky و Dr.Web، كانت الفيروسات القابلة للنزهة هي الأكثر شيوعا بين البرامج الضارة العام الماضي وتغلب على جميع السجلات في السنة. أنت محظوظ جدا إذا كان جهاز الكمبيوتر الخاص بك محمي بشكل موثوق ولم يؤخذ مثل "الضيف" حتى الآن.

ما هو الفيروس الابتزاز؟

هو - هي البرنامج الضاركقاعدة طروادة، التي تمنع تشغيل جهاز الكمبيوتر الخاص بك وتقدم استعادة الوضع الراهن إذا قمت بإرسال الرسائل القصيرة المدفوعة إلى رقم قصير.
الشيء الأكثر إثارة للاهتمام هو أن إرسال هذه الرسالة ليس في كثير من الأحيان أي عواقب، وهذا هو، سوف تنفق المال، ولن تتلقى النتيجة. علاوة على ذلك، في كثير من الأحيان SMS أكثر تكلفة بكثير من المبلغ المشار إليه.
الفيروسات - الابتزاز هي عدة أنواع. بعض - الوصول إلى مواقع الويب أو العمل مع المتصفح. أخرى - تشفير ملفات المستخدم. ثالث - حظر الوصول إلى الموارد نظام التشغيل أو الحد من الإجراءات فيه. هذه الفيروسات مخفية، عادة بين الملفات مع الرمز البريدي، RAR، EXE، BAT، ملحقات COM.

كيف لا تصبح ضحية للفيروس الابتزاز؟

1. بالطبع، لا طريقة لا تفعل ذلك بدون. مع أحدث قواعد بيانات محدثة باستمرار. الحماية ضد الفيروسات قد توفر كل ما يدفعه مكافحة الفيروسات مجانا.وبعد في أي حال، تقوم بنفسك بتقييم أهمية العمل المستقر وحماية البيانات على جهاز الكمبيوتر الخاص بك. حفظ على الحماية - وليس الخيار الأفضل.
2. من الإجراءات الإلزامية التي يجب وضعها على برنامج مكافحة الفيروسات الخاص بك - كاملة للفيروسات. تواتر التدقيق مرة أخرى تحدد بنفسك، ولكن مرة واحدة على الأقل في الأسبوع، يستحق القيام بمثل هذا التفتيش.
تقدم الشركات المصنعة لأنظمة حماية الفيروس أيضا التحقق من الملفات مباشرة على مواقعها، وتسمى هذه الماسحات الضوئية عبر الإنترنت. إذا كان لديك شكوك حول بعض الملفات على جهاز الكمبيوتر الخاص بك، يمكنك التحقق منها مرة أخرى، كل منفصلة:

الدكتور ويب ماسحة على الانترنت
http://vms.droweb.com/online/

Kaspersky Online Scanner.
http://www.kaspersky.ru/scanforvirus.

يقدم Dr.Web أيضا حل خاص به - Dr.Web Linkchecker. هذه مجموعة من المكونات الإضافية لمدة ثلاثة متصفحات ( موزيلا فايرفوكس.، الأوبرا متصفح الانترنت.) بعد تثبيت جميع الصفحات التي تفتحها والملفات التي تم تنزيلها من الإنترنت ستحقق من البرامج الضارة مسبقا، I.E. قبل فتح أو تنزيل شيء ما.
3. يستحق كل هذا العناء مرة أخرى لتكرار أن بعض الموارد أفضل لتجاوز الطريق العاشر. نحن نتحدث عن مواقع الوعود، والكثير من الاباحية الحرة، إلخ. بالمناسبة، فإن الموارد التي تقدم جميع أنواع الشقوق، وبرامج القرصنة والمفاتيح والبرامج المشابهة هي أيضا من المحتمل أن تكون خطيرة على جهاز الكمبيوتر الخاص بك. بالمناسبة، أي برامج - ستكون البرنامج العادي لعرض الصور، عميل IM أو حتى مجموعة قياسية من برامج الترميز - أوصي بقراء Mirsovets لتنزيلها من المواقع الرسمية. على الأقل، يجب أن يكون المورد موثوقا والتحقق منه.
تعلمت مواقع البحث الكبيرة (على سبيل المثال، ياندكس، Google) بالفعل التعرف على المواقع، والتي يمكنك الحصول على فيروس ككافأة، وتحذر من ذلك. ولكن إذا لم تكن متأكدا من موثوقية الموقع (حتى المواقع الرسمية قد تحمل تهديدا للعدوى في بعض الأحيان، فيمكنك التحقق من ذلك بنفسك. هذا ممكن بسهولة على صفحة نفس الماسح الضوئي على الإنترنت Dr.Web، حيث يؤدي النقر فوق الارتباط "التحقق من الرابط (URL)" وإدخال عنوان صفحة الموقع، وسوف تتعلم ما إذا كانت الفيروسات التي تهتم بها يحتوي.
لن يكون غير ضروري لوضع حماية إضافية لفحص المواقع التي حضرها لفتحها. على سبيل المثال، يمكنك استخدام Dr.Web LinkChecker المجاني (http://www.freedrweb.com/linkchecker/)، والتي يتم تضمينها في جميع المتصفحات الأكثر شعبية: Mozilla Firefox، Opera، Internet Explorer.
4. لا تفتح رسائل البريد الإلكتروني أو الملفات من الأشخاص غير المألوفين إليك أو تمر عبر الروابط الواردة من الغرباء. أكثر فيما يتعلق بما إذا كانت هناك فيروسات قابلة للابتزاز، وليس فقط.
5. ينصح بتخزين أهم كلمات المرور الخاصة بك وتسجيل الدخول بشكل منفصل.
6. جميع الأقراص ومحركات الأقراص ومحركات الذاكرة وبطاقات الذاكرة وغيرها من الوسائط القابلة للإزالة التي تتصل بها جهاز كمبيوتر تحقق فورا من أجل البرامج الضارة ثم تبدأ العمل معها. بالإضافة إلى ذلك، فإن التشغيل التلقائي من الوسائط القابلة للإزالة (فتح تلقائي عند الاتصال) من الأفضل إيقاف التشغيل على الإطلاق، والفيروسات قادرة على الاختباء وهناك. لتعطيل التشغيل التلقائي، استخدم تعليمات نظام التشغيل الخاص بك.
في الحالة عندما لا يتم تشغيل البرنامج قيد التشغيل سابقا، لم تنجح الملفات التي عملت مؤخرا بها مؤخرا، فمن المستحيل الذهاب عبر الإنترنت أو من المستحيل العمل مع جهاز كمبيوتر ... عند ظهور النافذة في المقابل، يجب عليك إرسال الرسائل القصيرة، من المؤكد أنه كان عليك التعرف على أحد أنواع الفيروسات من النياج. بالطبع، نحن لا ننصح إرسال الرسائل في أي مكان، لن تكون هناك نتيجة. ولكن يمكنك محاربة الفيروس والحاجة.
للقيام بذلك، من المستحسن أن يكون لديك مجموعة من المرافق لعلاج جهاز الكمبيوتر الخاص بك من هذه الفيروسات. سنقول عنها أكثر. ولكن إذا لم تكن متأكدا من أنه يمكنك التعامل مع علاج جهاز الكمبيوتر الخاص بك بنفسك، فأفضل الاتصال بأخصائي للمساعدة.

كيفية التخلص من الفيروس الابتزاز

ماذا لو كان الفيروس هو الابتزاز لا يزال في جهاز الكمبيوتر الخاص بك؟ أولا، يجب أن لا الذعر. على الرغم من حقيقة أن الفيروسات القابلة للنزهة تتطور بسرعة، إلا أنها لا تزال تكافح معهم. تحتاج فقط إلى أن تأخذ نفسك في متناول اليد واتخاذ عدد من التدابير.
لتحقيق النجاح في القتال ضد الفيروس الابتزاز، يجب عليك أولا تحديد الضيف الذي زارك وجهاز الكمبيوتر الخاص بك.
1. الفيروسات التي تحظر الوصول إلى الإنترنتوبعد إذا لم تتمكن من إدخال الإنترنت أو الوصول إلى معظم المواقع ورؤية راية بمتطلبات لإرسال رسائل نصية قصيرة المدفوعة، على الأرجح قمت بزيارت إحدى هذه الفيروسات: Trojan-Ransom.bat.agent.c أو Trojan-Ransom.win32. Digitala (الحصول على التسارع، والوصول الرقمي، والحصول على الوصول، Download Manager v1.34، Ilite Net Accelerator).
الأول، كما يمكن أن ينظر إليه من الاسم، لديه الخفافيش الإرشاد. يتغير هذا الفيروس المضيفين ملفتقع في كتالوج الجذر قرص النظام (Windows-95/98 / Me) أو في مجلد Windowssystem3derversetc (Windows NT / 2000 / XP / VISTA). تحتاج إلى فتح هذا الملف باستخدام أي محرر النص وحذف جميع الخطوط باستثناء 127.0.0.1 المحلي.

ثم امسك الفحص الكامل للكمبيوتر مع مكافحة الفيروسات. بعد التحقق، أعد تشغيل الكمبيوتر. يجب أن تختفي المشكلة.
أما بالنسبة للفيروسات في مجموعة Trojan-Ransom.Win32.Digitala، فكل شيء أكثر تعقيدا. يمكن ملثمين هذه البرامج الضارة بموجب قانونية البرمجياتوبعد هم أكثر صعوبة ومعرفة كيفية إخفاء نفسها. لذلك، فإن النافذة التي يكرهها هي معلقة في متطلبات الاسترداد لاستعادة أداء جهاز الكمبيوتر الخاص بك. ربما أول شيء يمكنك محاولةه لتخلص من الفيروسات التي تتطلب إدخال رمز التنشيط من خلال إرسال الرسائل القصيرة هي محاولة معرفة هذا الرمز الشديد. للقيام بذلك، بمساعدة كمبيوتر آخر (كملاذ أخير مع تليفون محمول) تحتاج إلى الذهاب إلى موقع أحد الشركات المصنعة لبرامج مكافحة الفيروسات (يتم عرض المراجع أدناه)، إلى صفحة ذات خدمة إلغاء تنشيط فيروسات الابتزاز:

خدمة تعطيل مختبر Kaspersky
http://support.kaspersky.ru/viruses/deblocker.

ESET Support ESET NOD32: فتح النوافذ
http://www.esetnod32.ru/.support/winlock/

Dr.Web: فتح النوافذ من Trojan.winlock
http://www.droweb.com/unlocker/

تحتاج فقط إلى ملء عدة حقول، وسيقدم لك النظام التعليمات البرمجية التي يمكنك إلغاء قفل تشغيل جهاز الكمبيوتر الخاص بك. إذا كان الرمز العددي المقدم لك ساعده، فقد وصل الكمبيوتر مرة أخرى، يجب ألا تتوقف هناك! على الأرجح، في مكان ما داخل نظام التشغيل كانت هناك آثار من فيروس ضار. يمكن أن تقدم لمعرفة أنفسهم لاحقا بقليل من خلال فشل العمل المتكرر، وربما وإعادة القفل. لهذا لا يحدث، أوصي بقراءة القراء من المؤسسات للتحقق من نظام التشغيل باستخدام مكافحة الفيروسات، لا تنس تحديث قواعد بياناته قبل ذلك.
إذا كان رمز إلغاء القفل لا يساعد، فيمكنك محاولة علاج جهاز الكمبيوتر الخاص بك باستخدام الأداة المساعدة Digita_Cure (منتج Kaspersky Lab) مصمم خصيصا لعلاج مجموعة فيروسات Ransom.win32.digitala، أو برامج Cureit (منتج Dr.Web)، والذي يكتشف و يكتشف أنواع أخرى من الفيروسات. يمكنك تنزيلها مجانا على مواقع هذه المختبرات:

digita_cure فائدة
صفحة البرنامج: http://www.kaspersky.ru/support/viruses/solutions؟print\u003dtrue&qid\u003d208637303.
رابط التحميل: http://www.kaspersky.ru/support/downloads/utils/digita_cure.zip.

الأداة الفائدة cureit.
صفحة البرنامج: http://www.freedrweb.com/cureit/
رابط التحميل: http://www.freedrweb.com/download+cureit/gr/

قبل بدء العلاج من الفيروس، تحتاج إلى إغلاق الوصول إلى الإنترنت وإعادة تشغيل الكمبيوتر الوضع الآمنعن طريق الضغط على زر F8 مباشرة بعد تشغيل وتحديد عنصر "التنزيل في الوضع الآمن". ثم سيكون من الضروري بدء محرك الأقراص أو القرص الفلاش باستخدام الأداة المساعدة Digita_Cure (أو CureIT) وإجراء فحص كمبيوتر كامل. بدلا من ذلك، يمكنك استخدام محرك أقراص ثابت قابل للإزالة مع برنامج بديل مكافحة الفيروسات. بعد العلاج، سيحتاج الكمبيوتر إلى إعادة التشغيل كالمعتاد. يجب إزالة الفيروسات من الفيروسات بعد إزالة هذا الإجراء.
2. الفيروسات حظر المتصفحوبعد إذا كنت مسافرا على شبكة الإنترنت العالمية باستخدام Internet Explorer، وإدخال أي موقع، راجع راية على الشاشة محتوى فرقي للغاية يتم كتابة رقم قصير ومتطلبات الطلب، تعرف، يمكنك زيارة Trojan-Ransom.win32.Hexzone أو trojan -ransom.win32.bho. هذه الفيروسات لا تمنع عمل الكمبيوتر بالكامل، ويعيش فقط في.

يستخدمون كائن المستعرض المستعرض. يمكنك حل المشكلة يدويا باستخدام الخوارزمية التالية. افتح Internet Explorer، ابحث عن عنصر القائمة "الخدمة"، ثم حدد "الوظيفة الإضافية" (إدارة الوظيفة الإضافية)\u003e "تمكين الإعدادات وتعطيلها". النقر فوق العنصر الأخير، سترى جميع الوظائف الإضافية المثبتة في المتصفح. مهمتك هي التحقق من جميع الوظائف الإضافية التي ليس لديها إدخال في عمود "Publisher" أو مكتوبة "غير تم التحقق منها".

بالتناوب قطع الاتصال بهم، في كل مرة تقوم فيها بتشغيل Internet Explorer Anew. هذا الفوئي، بعد الانفصال الذي يختفيه Pornobanner، أمر ضار، وسوف يحتاج إلى إيقاف تشغيله.
يمكنك أيضا إزالة هذا النوع من فيروسات الابتزاز باستخدام الأداة المساعدة AVPTOOL من Kaspersky (http://support.kaspersky.ru/viruses/avput2010؟level\u003d2) أو Cureit من Dr.Web (http: //www.freedrweb. com / cureit /).
3. الفيروسات التي تحظر الوصول إلى نظام التشغيلوبعد إذا لم يتم تشغيل أي برنامج على جهاز الكمبيوتر الخاص بك، باستثناء Internet Explorer و تعبير خارجى.، وقبلك النافذة مع متطلبات الفداء، فقد ضرب الفيروس الذي يحظر نظام التشغيل، أحد هذه - Trojan-Ransom.win32.krotten.

لحفظ جهاز الكمبيوتر الخاص بك من الفيروسات من هذه المجموعة، يمكنك أيضا الاتصال بالخدمة فتح مجانا (ارتباطات لفتح صفحات الخدمة قد قدمت أعلاه). بعد إلغاء القفل، لا تنس أن تحمل اختبارا عميقا للكمبيوتر مع برنامج مكافحة الفيروسات المرخص مع قواعد طازجة.
في حالة الفشل، ستحتاج إلى استخدام LIVECD من Dr.Web، المصممة لنظام استرداد الطوارئ.

صفحة البرنامج: http://www.freedrweb.com/livecd/
رابط لتحميل الصور: ftp://ftp.droweb.com/pub/drweb/livecd/mindrweblivecd-5.0.1.iso.

ستحتاج إلى تنزيل صورة وكتابة صورة على قرص بجعلها غنيمة (يمكن القيام بذلك باستخدام برنامج CDBurnerXP، وإعداد خيار "جعل القرص قابل للتمهيد" عند التسجيل). بعد ذلك، عن طريق تعيين جهاز التمهيد الأول في BIOS:، لتحميل جهاز كمبيوتر من هذا القرص. LIVECD من Dr.Web يحتوي بالفعل على وسيلة لعلاج الفيروسات وإزالةها، ولكن في هذه الحالة قد يتداخل برنامج ضار في إطلاق مدمج في قرص التشغيل خدمات.

وعلى الأرجح، ستحتاج إلى مساعدة من أدوات مكافحة الفيروسات الأخرى المسجلة على محرك أقراص فلاش. سيحتاجون إلى إعادة تسميته في "iexplore.exe"، بعد ذلك يمكن إطلاقها. ويمكنك مساعدة هذه الأموال كما avptool من kaspersky (وصف المنتج هنا http://support.kaspersky.ru/viruses/avpptool2010؟level\u003d2) أو فائدة أفز. (http://z-oleg.com/secur/avz/download.php)، ومع ذلك، تحتاج إلى البرامج النصية للعمل معها. لتجميعها، يمكنك الاتصال بالمنتديات المتخصصة، على سبيل المثال، فيروسينفو. قبل استخدام خدمات متخصصي المنتدى، اقرأ القواعد بعناية، وقراءة الأسئلة الشائعة والتسجيل. سيتم تزويدك برصين نصي لحالتك. بعد ذلك، ستحتاج إلى نسخ البرنامج النصي وحدد "البرنامج النصي تشغيل الملف" في قائمة البرنامج، أدخل البرنامج النصي في النافذة التي يتم فتحها وانقر فوق "تشغيل". كرر مرة أخرى: إذا لم تكن متأكدا من أنه يمكنك القيام بكل شيء بشكل صحيح، فمن الأفضل أن تتحول إلى أخصائي.

من الملاحظ، تتم إزالة بعض الفيروسات التي تمنع الوصول إلى موارد نظام التشغيل بعد ساعتين بالضبط بعد الاختراق على الكمبيوتر. للتخلص من الفيروس، اتضح أن تكون كافية لترجمة الساعة في BIOS "E إلى الأمام أكثر من بضع ساعات. بعد إعادة تشغيل النافذة مع الطلب، تختفي إرسال الرسائل القصيرة، وكذلك آثار من وجود الفيروس. لكن مع ذلك فحص كامل ينصح الفيروسات للوقاية.

4. فيروسات التشفيروبعد يتم احتلال مكان منفصل من قبل الفيروسات التي تشفير البيانات المخزنة على جهاز الكمبيوتر الخاص بك: Trojan-Ransom.win32.gpcode، Trojan-Ransom.win32.Eccore، Trojan.ramvicrype. كقاعدة عامة، ملفات مع TXT، XLS، تعاني ملحقات DOC. لمعرفة أن جهاز الكمبيوتر الخاص بك مصاب، يمكنك، بفضل عدم الوصول إلى المعلومات والنافذة الموجودة على سطح المكتب أو وثيقة النصمضمن في دليل مع ملفات مشفرة.
ربما تشفير الفيروسات الأكثر فظاعة في الابتزاز. لعلاجهم، مؤخرا لم تكن موجودة. الأساليب القياسيةوبعد اليوم، عروض مختبر Dr.Web الأدوية المصممة خصيصا لعلاج الفيروسات من هذا النوع (http://www.freedrweb.com/aid_admin/). تحت الرابط، يمكنك تنزيل سلسلة من المرافق لمكافحة نوع الفيروسات Trojan-Ransom.win32.Encore. يتم توفيرها مجانا.
يمكنك أيضا الاستفادة من المرافق المجانية Photorec المجانية (التي أنشأتها Creastophol Grier، وفقا لترخيص GPL) و Stopgpcode2 (منتج Kaspersky Lab). يتم وصف التعليمات مع مساعدتهم بالتفصيل ويتم وصفها في صفحة SecureList.com.
http://www.securelist.com/ru/viruses/encyclopedia؟virousid\u003d313444#doc2.
طورت Symantec أداة مساعدة تحارب فيروس Ramvicrype-Encrypter. هذا الفيروس تشفير الملفات في مجلد النظام، تعيينهم ملحق .vicept. كقاعدة عامة، لا يتم إطلاق أي برنامج على جهاز كمبيوتر يتأثر بهذا الفيروس. قم بتنزيل أداة إزالة Trojan.ramvicrype المجانية على الموقع الرسمي ل Symantec:
http://www.symantec.com/en/uk/business/security_Response/WRITEUP.JSP؟Docid\u003d2009-102921-3210-99.
قبل بدء تشغيل الأداة المساعدة لمكافحة الفيروسات من Symantec، يجب عليك إغلاق جميع البرامج، قم بتعطيل الكمبيوتر من الشبكة. انتباه: في التعليمات لاستخدام الأداة المساعدة، يوصى أيضا بتعطيل خدمة استرداد النظام. بعد التحقق من الكمبيوتر، تحتاج إلى إعادة التشغيل وإعادة التحقق. فقط بعد هذه الإجراءات يجب أن استعاد اتصال الشبكة وتشغيل خدمة الاسترداد.

إذا لم يساعدك أي من الطرق المذكورة أعلاه، فسيتعين عليك الاتصال بالمتخصصين دعم فني الشركة المصنعة لبرامج مكافحة الفيروسات الخاصة بك.
في الختام، أود أن أشير إلى أن الوقاية دائما أفضل من العلاج. لذلك، اتبع دائما قواعد أمان الإنترنت ولا تنقذ على حماية الكمبيوتر - استخدم مرخصا برامج مكافحة الفيروساتوبعد ومع ذلك، فإن الملفات المهمة للغاية هي الأفضل للتخزين ليس فقط على القرص الثابت للكمبيوتر، ولكن أيضا على بعض الناقل الأخرى، على سبيل المثال، تكرارها على قرص مضغوط أو محرك أقراص DVD أو USB فلاش.

18.05.2017 16:56

في الأسبوع الماضي، واجه مستخدمو جميع أنحاء العالم موجة كبيرة جدا من Kiberatak، والتي تم تنفيذها باستخدام فيروس قابل للابتزاز يسمى Wannacry. كان المستخدمون من أجزاء مختلفة من العالم ضحايا للبرامج الضارة. هذا الأسبوع، تمكن انتشار الفيروس من التوقف، ولكن في غضون يومين فقط كان لديه متابعين.

لقد أظهر فيروس Wannacry نفسه بالفعل في العمل. تمكن العديد من المتسللين من التعرف عليهم، وبالتالي فإن مظهر المتابعين لم يجعل نفسه ينتظر طويلا. علاوة على ذلك، فمن الممكن أنه في وقت قصير، وليس واحدة، ولكن العديد من الفيروسات المماثلة. واحد منهم أصبح معروفا بالفعل. تم اكتشافه من قبل الباحثين من الاتجاه مايكرو. اكتشفوا أن البرنامج الجديد الابتزاز يستخدم نفس الضعف مثل Wannacry شعبية مؤخرا. يسمى برنامج ضار جديد Uiwix. تمكن بعض الخبراء بالفعل من إعلان أن البرامج الضارة الجديدة هي نسخة محسنة من Wannacry، لكن الباحثين من تريند مايكرو رفضوا. في رأيهم، ينتمي كلا الفيروسات إلى نفس العائلة. هذه البرامج الضارة استغلال نفس التعرض مايكروسوفت. تمكن بالفعل من إصلاح بأمان عن طريق ترك التصحيحات التالية لبرامجها.

أذكر أنه وفقا لبعض البيانات، تم استغلال مواطن الضعف في SMB من قبل وكالة الأمن القومي الأمريكي، ولكن بعد تسريب المعلومات حول الحفرة في البرنامج إلى الشبكة بفضل المتسللين من سماسرة الظل، رفضت NSA استخدام هو - هي.

بالإضافة إلى تشغيل نفس الضعف، لم تعد الفيروسات متصلة. إذا كانت Wannacry تستخدم الملفات من أجل إصلاحه كمبيوتر شخصي الضحايا، ثم UIWIX صالح فقط في ذاكرة الجهاز، دون التسجيل hDD لا ملفات. لهذا السبب، من الصعب تعقب وتدميرها، مما يجعلها مقارنة بالمناصير غير محسوسة. إذا وجد الماليكو ما كان محاصرا ( آلة افتراضية أو رمل)، ثم سوف احترام الذات. لأنه ليس غريبا، لكن الفيروس غير صالح في إقليم الدول الثلاث. هذه هي روسيا وروسيا البيضاء وكازاخستان. إذا كان بإمكان البرنامج الخبيث أن يكون قادرا على الوصول إلى الكمبيوتر في هذه البلدان، فسيتم تدميره أيضا بنفسك.

وفقا للخبراء، يكفي إعادة تشغيل جهاز الكمبيوتر الخاص بك لتدمير الفيروس. نظرا لأن الفيروس يتم تخزينه في الذاكرة، فإن نتيجة إعادة التشغيل سيتم حذفها. تظهر الرسالة على الشاشة بعد أن تنص إصابة الكمبيوتر على أن جميع الملفات الموجودة على الكمبيوتر مشفرة، ولل فكيبتها تحتاج إلى دفع الفداء بمبلغ 200 دولار. لاحظ أن Wannacry طالب أكثر بكثير. أولا، كان مقدار الفدية 300 دولار، ولكن ارتفع لاحقا إلى 600 دولار.

نتيجة لتحليل قانون الفيروسات الجديدة للمترز، كان من الممكن أيضا إثبات أن Uiwix أثناء إقامته في جهاز الكمبيوتر الشخصي لجمع جميع البيانات اللازمة للترخيص خدمات مختلفة، بما في ذلك المتصفح، بريد إلكتروني، رسل، إلخ.