撰文: Cris Nowell Pantanilla   

 :

Trojan-Ransom.Win32.Petr.eu (Kaspersky), Trojan:Win32/Petya.G (Microsoft)

 平台:

Windows

 整體風險評比:
 潛在威脅性:
 潛在散播風險:
 報告感染 :
 資訊暴露評比:

  • 惡意程式類型:
    Trojan

  • 具破壞性:

  • 被加密:

  • In the wild:

  總覽與描述

感染管道: 下降了其他惡意軟件

要获取此间谍软件行为的简要综述,请参考以下“威胁图”。

它可能是由其他惡意程式所放置。

  詳細技術資訊

檔案大小: 260,608 bytes
檔案類型: EXE
記憶體常駐型:
首批樣本接收日期: 2016年12月7日

到達詳細資訊

它可能是由下列惡意程式所放置:

安裝

它會將本身的下列副本放置到受影響的系統並執行它們:

  • %UserProfile%\Application Data\{GUID}\{random filename}.exe

它會放置下列檔案:

  • %Desktop%\YOUR_FILES_ARE_ENCRYPTED.TXT

(注意:%Desktop% 是目前使用者的桌面,通常是 C:\Windows\Profiles\{user name}\Desktop(Windows 98 和 ME)、C:\WINNT\Profiles\{user name}\Desktop (Windows NT),以及 C:\Documents and Settings\{User Name}\Desktop(Windows 2000、XP 和 Server 2003)。)

其他詳細資訊

它會加密副檔名如下的檔案:

  • 3dm
  • 3ds
  • 3fr
  • 3g2
  • 3ga
  • 3gp
  • a2c
  • aa
  • aa3
  • aac
  • accdb
  • aepx
  • ai
  • aif
  • amr
  • ape
  • apnx
  • ari
  • arw
  • asf
  • asp
  • aspx
  • asx
  • avi
  • azw
  • azw1
  • azw3
  • azw4
  • bak
  • bat
  • bay
  • bin
  • bmp
  • camproj
  • cat
  • ccd
  • cdi
  • cdr
  • cer
  • cert
  • cfg
  • cgi
  • class
  • cmf
  • cnf
  • conf
  • config
  • cpp
  • cr2
  • crt
  • crw
  • crwl
  • cs
  • csv
  • cue
  • dash
  • dat
  • db
  • dbf
  • dcr
  • dcu
  • dds
  • default
  • der
  • dfm
  • directory
  • disc
  • dmg
  • dng
  • doc
  • docm
  • docx
  • dtd
  • dvd
  • dwg
  • dxf
  • eip
  • emf
  • eml
  • eps
  • epub
  • erf
  • fff
  • flv
  • frm
  • gfx
  • gif
  • gzip
  • h
  • htm
  • html
  • idl
  • iiq
  • indd
  • inf
  • iso
  • jar
  • java
  • jfif
  • jge
  • jpe
  • jpeg
  • jpg
  • js
  • json
  • jsp
  • k25
  • kdc
  • key
  • ldf
  • lit
  • localstorage
  • m3u
  • m4a
  • m4v
  • max
  • mdb
  • mdf
  • mef
  • mkv
  • mobi
  • mov
  • movie
  • mp1
  • mp2
  • mp3
  • mp4
  • mp4v
  • mpa
  • mpe
  • mpeg
  • mpg
  • mpv2
  • mrw
  • msg
  • mts
  • mui
  • myi
  • nef
  • nrg
  • nri
  • nrw
  • number
  • obj
  • odb
  • odc
  • odf
  • odm
  • odp
  • ods
  • odt
  • ogg
  • orf
  • ost
  • p12
  • p7b
  • p7c
  • pages
  • pas
  • pbk
  • pdd
  • pdf
  • pef
  • pem
  • pfx
  • php
  • png
  • po
  • pps
  • ppt
  • pptm
  • pptx
  • prf
  • props
  • ps
  • psd
  • pspimage
  • pst
  • ptx
  • pub
  • py
  • qt
  • r3d
  • ra
  • raf
  • ram
  • rar
  • raw
  • result
  • rll
  • rm
  • rpf
  • rtf
  • rw2
  • rwl
  • sql
  • sqlite
  • sqllite
  • sr2
  • srf
  • srt
  • srw
  • svg
  • swf
  • tga
  • tiff
  • toast
  • ts
  • txt
  • vbs
  • vcd
  • vlc
  • vmdk
  • vmx
  • vob
  • wav
  • wb2
  • wdb
  • wma
  • wmv
  • wpd
  • wps
  • x3f
  • xlk
  • xls
  • xlsb
  • xlsm
  • xlsx
  • xml
  • xps
  • xsl
  • yml
  • yuv
  • zip

  解決方案

最低掃瞄引擎: 9.800
第一個 VSAPI 病毒碼檔案: 12.946.06
第一個 VSAPI 病毒碼發行日期: 2016年12月7日
VSAPI OPR 病毒碼版本: 12.947.00
VSAPI OPR 病毒碼發行日期: 2016年12月8日

Step 1

對於 Windows ME 和 XP 使用者,在執行任何掃瞄之前,請確定您已關閉「系統還原」,以便能完整掃瞄您的電腦。

Step 3

移除 RANSOM_GOLDENEYE.B 放置/下載的惡意程式檔案

如果要移除 BHO 機碼,請執行下列動作:

  1. 關閉所有開啟的 Internet 瀏覽器視窗的實體。
  2. 開啟命令提示字元視窗。按一下「開始∣執行」。
    • 在 Windows 98 和 ME 中,輸入
    COMMAND,然後按 Enter 鍵。
    • 在 Windows NT、2000、XP 和 Server 2003 中,輸入
    CMD,然後按 Enter 鍵。
  3. 在命令提示字元中,輸入下列命令,然後按 Enter 鍵:
    CD
DATA_GENERIC_PATH
  • 繼續在命令提示字元中輸入下列命令,然後按 Enter 鍵:
    • 在 Windows 98 和 ME 中,輸入
    RUNDLL DATA_GENERIC_FILENAME ,DllUnregisterServer
    • 在 Windows NT、2000、XP 和 Server 2003 中,輸入
    REGSVR32 DATA_GENERIC_FILENAME /U
  • 當系統提示時,請按一下「是」或「確定」。
  • 關閉命令提示字元。
  • Step 4

    搜尋並刪除此檔案

    [ 學到更多 ]
    有些可能是隱藏的元件檔案。請確定您已在「進階選項」中選取「搜尋隱藏的檔案和資料夾」核取方塊,以在搜尋結果中包含所有隱藏的檔案和資料夾。 %Desktop%\YOUR_FILES_ARE_ENCRYPTED.TXT

    Step 5

    使用您的趨勢科技產品掃瞄電腦,以刪除所偵測到如 RANSOM_GOLDENEYE.B 的檔案 如果偵測到的檔案已被您的趨勢科技產品清除、刪除或隔離,則不需要進一步的動作。您可以選擇刪除隔離的檔案。請參考此常見問題集頁面瞭解詳細資訊。


    說說您對安全威脅百科的想法