撰文: Cris Nowell Pantanilla   

 :

Ransom:Win32/WannaCrypt (Microsoft), Trojan-Ransom.Win32.Wanna.c (Kaspersky), Win32/Filecoder.WannaCryptor.D (ESET-NOD32)

 平台:

Windows

 整體風險評比:
 潛在威脅性:
 潛在散播風險:
 報告感染 :
 資訊暴露評比:

  • 惡意程式類型:
    Ransomware

  • 具破壞性:

  • 被加密:
     

  • In the wild:

  總覽與描述

感染管道: 下降了其他惡意軟件

它可能是由其他惡意程式所放置。

  詳細技術資訊

檔案大小: 3,514,368 bytes
檔案類型: EXE
記憶體常駐型:
首批樣本接收日期: 2017年6月8日

到達詳細資訊

它可能是由下列惡意程式所放置:

修改其他系統

它會修改下列登錄項目以變更桌面底色圖案:

HKEY_CURRENT_USER\Control Panel\Desktop
Wallpaper = "%Desktop%\@WanaDecryptor@.bmp"

(Note: The default value data of the said registry entry is {user preferred}.)

  解決方案

最低掃瞄引擎: 9.850
第一個 VSAPI 病毒碼檔案: 13.400.05
第一個 VSAPI 病毒碼發行日期: 2017年5月12日
VSAPI OPR 病毒碼版本: 13.401.00
VSAPI OPR 病毒碼發行日期: 2017年5月13日

Step 1

對於 Windows ME 和 XP 使用者,在執行任何掃瞄之前,請確定您已關閉「系統還原」,以便能完整掃瞄您的電腦。

Step 2

移除 RANSOM_WCRY.I 放置/下載的惡意程式檔案

如果要移除 BHO 機碼,請執行下列動作:

  1. 關閉所有開啟的 Internet 瀏覽器視窗。
  2. 開啟命令提示字元視窗。按一下「開始∣執行」。
    • 在 Windows 98 和 ME 中,輸入
    COMMAND,然後按 Enter 鍵。
    • 在 Windows NT、2000、XP 和 Server 2003 中,輸入
    CMD,然後按 Enter 鍵。
  3. 在命令提示字元視窗中,輸入下列命令,然後按 Enter 鍵:
    CD
DATA_GENERIC_PATH
  • 繼續在命令提示字元中輸入下列命令,然後按 Enter 鍵:
    • 在 Windows 98 和 ME 中,輸入
    RUNDLL DATA_GENERIC_FILENAME ,DllUnregisterServer
    • 在 Windows NT、2000、XP 和 Server 2003 中,輸入
    REGSVR32 DATA_GENERIC_FILENAME /U
  • 當系統提示時,請按一下「是」或「確定」。
  • 關閉命令提示字元視窗。
  • Step 3

    識別並終止所偵測到如 RANSOM_WCRY.I 的檔案

    [ 學到更多 ]
    1. 對於 Windows 98 和 ME 使用者,「Windows 工作管理員」可能不會顯示所有執行中的處理程序。在此情況下,請使用協力廠商處理程序檢視器(建議使用 Process Explorer)來終止惡意程式/可能的資安威脅程式/間諜程式檔案。您可以在這裡下載上述工具。
    2. 如果偵測到的檔案顯示於「Windows 工作管理員」或 Process Explorer 中,但卻無法將它刪除,請將電腦重新啟動至安全模式。如果要執行此動作,請參考此連結瞭解完整步驟。
    3. 如果偵測到的檔案未顯示於「Windows 工作管理員」或 Process Explorer 中,請繼續執行下列步驟。

    Step 4

    重設桌面內容

    [ 學到更多 ]

    Step 5

    使用您的趨勢科技產品掃瞄電腦,以刪除所偵測到如 RANSOM_WCRY.I 的檔案 如果偵測到的檔案已被您的趨勢科技產品清除、刪除或隔離,則不需要進一步的動作。您可以選擇刪除隔離的檔案。請參考此常見問題集頁面瞭解詳細資訊。


    說說您對安全威脅百科的想法