撰文: Sabrina Lei Sioting   

 :

Win32/Filecoder.CE (Eset), Trojan.Crypt2 (Ikarus), Trojan-Ransom.Win32.Blocker.drcc (Kaspersky), Trojan.Ransomcrypt (Symantec),

 平台:

Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)

 整體風險評比:
 潛在威脅性:
 潛在散播風險:
 報告感染 :
 資訊暴露評比:

  • 惡意程式類型:
    Trojan

  • 具破壞性:

  • 被加密:

  • In the wild:

  總覽與描述

感染管道: 從互聯網上下載, 下降了其他惡意軟件

要获取此间谍软件行为的简要综述,请参考以下“威胁图”。

  詳細技術資訊

檔案大小: 281,088 bytes
檔案類型: EXE
記憶體常駐型:
首批樣本接收日期: 2014年3月7日

安裝

它會將本身的下列副本放置到受影響的系統並執行它們:

  • %Application Data%\{random}.exe

(注意:%Application Data% 是目前使用者的 Application Data 資料夾,通常是 C:\Windows\Profiles\{user name}\Application Data(Windows 98 和 ME)、C:\WINNT\Profiles\{user name}\Application Data (Windows NT),以及 C:\Documents and Settings\{user name}\Local Settings\Application Data(Windows 2000、XP 和 Server 2003)。)

它會放置下列檔案:

  • %Application Data%\bitcrypt.ccw - configuration file
  • %Application Data%\BitCrypt.txt - contains ransom message

(注意:%Application Data% 是目前使用者的 Application Data 資料夾,通常是 C:\Windows\Profiles\{user name}\Application Data(Windows 98 和 ME)、C:\WINNT\Profiles\{user name}\Application Data (Windows NT),以及 C:\Documents and Settings\{user name}\Local Settings\Application Data(Windows 2000、XP 和 Server 2003)。)

它會留下含有下列內容的文字檔做為拼湊文字 (ransom note):

自動啟動技術

它會新增下列登錄項目,使其在每次系統啟動時自動執行:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Bitcomint = "%Application Data%\{random}.exe"

其他系統修改

它會新增下列登錄機碼,做為其安裝常式的一部分:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
FileExts\.ccw

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
FileExts\.ccw\OpenWithList

它會刪除下列登錄機碼:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\SafeBoot\Minimal

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\SafeBoot\Network

處理程序終止

如果在受影響系統的記憶體中發現下列處理程序正在執行,它會終止那些處理程序:

  • taskmgr.exe
  • regedit.exe

其他詳細資訊

它會加密副檔名如下的檔案:

  • *.abw
  • *.arj
  • *.asm
  • *.bpg
  • *.cdr
  • *.cdt
  • *.cdx
  • *.cer
  • *.css
  • *.dbf
  • *.dbt
  • *.dbx
  • *.dfm
  • *.djv
  • *.djvu
  • *.doc
  • *.docm
  • *.docx
  • *.dpk
  • *.dpr
  • *.frm
  • *.jpeg
  • *.jpg
  • *.key
  • *.lzh
  • *.lzo
  • *.mdb
  • *.mde
  • *.odc
  • *.pab
  • *.pas
  • *.pdf
  • *.pgp
  • *.php
  • *.pps
  • *.ppt
  • *.pst
  • *.rtf
  • *.sql
  • *.text
  • *.txt
  • *.vbp
  • *.vsd
  • *.wri
  • *.xfm
  • *.xlc
  • *.xlk
  • *.xls
  • *.xlsm
  • *.xlsx
  • *.xlw
  • *.xsf
  • *.xsn

  解決方案

最低掃瞄引擎: 9.700
VSAPI OPR 病毒碼版本: 10.657.00
VSAPI OPR 病毒碼發行日期: 2014年3月10日

Step 1

對於 Windows ME 和 XP 使用者,在執行任何掃瞄之前,請確定您已關閉「系統還原」,以便能完整掃瞄您的電腦。

Step 2

使用您的趨勢科技產品掃瞄電腦,並注意所偵測到如 TROJ_CRIBIT.A 的檔案

Step 3

使用 Process Explorer 終止此處理程序

[ 學到更多 ]
如果您仍然無法終止惡意程式/可能的資安威脅程式/間諜程式處理程序(因為未顯示於 Process Explorer 中),請將電腦重新啟動至安全模式。您可以參考此網站瞭解詳細資訊。

Step 4

還原已刪除的登錄機碼

  1. 仍停留在「登錄編輯程式」的左窗格中,按兩下下列項目:
    HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>
    Control>SafeBoot>Minimal
  2. 在機碼上按一下滑鼠右鍵,然後選擇「新增∣機碼」。將新機碼的值變更為:
    {4D36E967-E325-11CE-BFC1-08002BE10318}
  3. 在「值名稱」上按一下滑鼠右鍵,然後選擇「修改」。將此項目的「值資料」變更為:
    DiskDrive
  4. 在左窗格中,按兩下下列項目:
    HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>
    Control>SafeBoot>Network
  5. 在機碼上按一下滑鼠右鍵,然後選擇「新增∣機碼」。將新機碼的值變更為:
    {4D36E967-E325-11CE-BFC1-08002BE10318}
  6. 在「值名稱」上按一下滑鼠右鍵,然後選擇「修改」。將此項目的「值資料」變更為:
    DiskDrive
  7. 關閉「登錄編輯程式」。

Step 5

刪除此登錄值

[ 學到更多 ]

重要:不當編輯「Windows 登錄」可能會導致系統故障而無法回復。請在您有把握或有系統管理員協助的情況下執行此步驟。或者,在修改電腦的登錄之前,先閱讀此 Microsoft 文章

 
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    • Bitcomint = "%Application Data%\{random}.exe"

Step 6

刪除此登錄機碼

[ 學到更多 ]

重要:不當編輯「Windows 登錄」可能會導致系統故障而無法回復。請在您有把握或有系統管理員協助的情況下執行此步驟。或者,在修改電腦的登錄之前,先閱讀此 Microsoft 文章

  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts
    • .ccw

Step 7

搜尋並刪除這些檔案

[ 學到更多 ]
有些可能是隱藏的元件檔案。請確定您已在「進階選項」中選取「搜尋隱藏的檔案和資料夾」核取方塊,以在搜尋結果中包含所有隱藏的檔案和資料夾。
  • %Application Data%\bitcrypt.ccw
  • %Application Data%\BitCrypt.txt
  • {Folder path of encrypted files}\BitCrypt.txt

Step 8

使用您的趨勢科技產品掃瞄電腦,以刪除所偵測到如 TROJ_CRIBIT.A 的檔案 如果偵測到的檔案已被您的趨勢科技產品清除、刪除或隔離,則不需要進一步的動作。您可以選擇刪除隔離的檔案。請參考此常見問題集頁面瞭解詳細資訊。


說說您對安全威脅百科的想法