Analisado por: Maureen Reyes   

 

Ransom:Win32/Jabaxsta.D!bit (Microsoft)

 Plataforma:

Windows

 Classificao do risco total:
 Potencial de dano:
 Potencial de distribuição:
 infecção relatada:
 Exposição das informações:
Baixo
Medium
Alto
Crítico

  • Tipo de grayware:
    Ransomware

  • Destrutivo:
    Não

  • Criptografado:
     

  • In the Wild:
    Sim

  Visão geral

Ele executa e depois se exclui.

  Detalhes técnicos

Tipo de compactação: Varía
Tipo de arquivo: EXE
Data de recebimento das amostras iniciais: 02 de abril de 2019

Instalao

Ele deixa os seguintes arquivos:

  • %Public%\{Random}.exe
  • %Public%\sys

Ele adiciona os seguintes processos:

  • "%System%\net.exe" stop "audioendpointbuilder" /y
  • "%System%\net.exe" stop "samss" /y
  • "%System%\net.exe" stop "ui0detect" /y

(Observação: %System% é a pasta de sistema do Windows, que geralmente é C:\Windows\System, no Windows 98 e ME; C:\WINNT\System32, no Windows NT e 2000; ou C:\Windows\System32, no Windows XP e Server 2003).

)

Ele executa e depois se exclui.

  Solução

Mecanismo de varredura mínima: 9.850
Primeiro arquivo padrão VSAPI: 14.870.08
Data do lançamento do primeiro padrão VSAPI: 14 de marzo de 2019
VSAPI OPR Pattern Version: 14.871.00
VSAPI OPR Pattern veröffentlicht am: 15 de marzo de 2019

Step 1

Para os usuários do Windows ME e XP, antes de realizar qualquer varredura, verifique se você desabilitou a Restauração do Sistema para permitir a varredura completa do computador.

Step 3

Pesquise e exclua esse arquivo

[ Saber mais ]
Pode ser que alguns arquivos de componente estejam ocultos. Verifique se a caixa de seleção Pesquisar pastas e arquivos ocultos em 'Mais opções avançadas' está marcada para incluir todas as pastas e arquivos ocultos no resultado da pesquisa.
  • %Public%\{Random}.exe
  • %Public%\sys
  • {Encrypted Directory}:\RyukReadMe.txt
  • {Encrypted Directory}:\RyukReadMe.html

Step 4

Faça uma varredura em seu computador com o produto Trend Micro para excluir os arquivos detectados como Ransom.Win32.RYUK.SMTH Se os arquivos detectados já tiverem sido limpos, excluídos ou colocados em quarentena pelo seu produto da Trend Micro, nada mais é necessário. Você pode optar por simplesmente excluir os arquivos em quarentena. Para obter mais informações, verifique a página da Base de Conhecimento.


Participe da nossa pesquisa!