撰文: Rhena Inocencio   

 :

Ransom:MSIL/Samas.A (Microsoft), Trojan-Ransom.MSIL.Agent.wc (Kaspersky), MSIL/Filecoder.AR (ESET)

 平台:

Windows

 整體風險評比:
 潛在威脅性:
 潛在散播風險:
 報告感染 :
 資訊暴露評比:

  • 惡意程式類型:
    Trojan

  • 具破壞性:

  • 被加密:

  • In the wild:

  總覽與描述

感染管道: 從互聯網上下載, 下降了其他惡意軟件

要获取此间谍软件行为的简要综述,请参考以下“威胁图”。

  詳細技術資訊

檔案大小: 218,624 bytes
檔案類型: EXE
記憶體常駐型:
首批樣本接收日期: 2016年2月22日

安裝

它會放置下列元件檔案:

  • {root drive}\HELP_DECRYPT_YOUR_FILES.html
  • %Desktop%\HELP_DECRYPT_YOUR_FILES.html
  • {folders containing encrypted files}\HELP_DECRYPT_YOUR_FILES.html

(注意:%Desktop% 是目前使用者的桌面,通常是 C:\Windows\Profiles\{user name}\Desktop(Windows 98 和 ME)、C:\WINNT\Profiles\{user name}\Desktop (Windows NT),以及 C:\Documents and Settings\{User Name}\Desktop(Windows 2000、XP 和 Server 2003)。)

它會放置並執行下列檔案:

  • {malware path}\selfdel.exe - used to delete the malware
  • {malware path}\del.exe - legitimate Sysinternals SDelete program. The following command is executed to wipe free space on the disk to prevent recovery:

    {malware path}\del.exe -c C: /accepteula

其他詳細資訊

它會加密副檔名如下的檔案:

  • .xls
  • .xlsx
  • .pdf
  • .doc
  • .docx
  • .ppt
  • .pptx
  • .txt
  • .dwg
  • .bak
  • .bkf
  • .pst
  • .dbx
  • .zip
  • .rar
  • .mdb
  • .asp
  • .aspx
  • .html
  • .htm
  • .dbf
  • .3dm
  • .3ds
  • .3fr
  • .jar
  • .3g2
  • .xml
  • .png
  • .tif
  • .3gp
  • .java
  • .jpe
  • .jpeg
  • .jpg
  • .jsp
  • .php
  • .3pr
  • .7z
  • .ab4
  • .accdb
  • .accde
  • .accdr
  • .accdt
  • .ach
  • .kbx
  • .acr
  • .act
  • .adb
  • .ads
  • .agdl
  • .ai
  • .ait
  • .al
  • .apj
  • .arw
  • .asf
  • .asm
  • .asx
  • .avi
  • .awg
  • .back
  • .backup
  • .backupdb
  • .pbl
  • .bank
  • .bay
  • .bdb
  • .bgt
  • .bik
  • .bkp
  • .blend
  • .bpw
  • .c
  • .cdf
  • .cdr
  • .cdr3
  • .cdr4
  • .cdr5
  • .cdr6
  • .cdrw
  • .cdx
  • .ce1
  • .ce2
  • .cer
  • .cfp
  • .cgm
  • .cib
  • .class
  • .cls
  • .cmt
  • .cpi
  • .cpp
  • .cr2
  • .craw
  • .crt
  • .crw
  • .phtml
  • .php5
  • .cs
  • .csh
  • .csl
  • .tib
  • .csv
  • .dac
  • .db
  • .db3
  • .db-journal
  • .dc2
  • .dcr
  • .dcs
  • .ddd
  • .ddoc
  • .ddrw
  • .dds
  • .der
  • .des
  • .design
  • .dgc
  • .djvu
  • .dng
  • .dot
  • .docm
  • .dotm
  • .dotx
  • .drf
  • .drw
  • .dtd
  • .dxb
  • .dxf
  • .dxg
  • .eml
  • .eps
  • .erbsql
  • .erf
  • .exf
  • .fdb
  • .ffd
  • .fff
  • .fh
  • .fmb
  • .fhd
  • .fla
  • .flac
  • .flv
  • .fpx
  • .fxg
  • .gray
  • .grey
  • .gry
  • .h
  • .hbk
  • .hpp
  • .ibank
  • .ibd
  • .ibz
  • .idx
  • .iif
  • .iiq
  • .incpas
  • .indd
  • .kc2
  • .kdbx
  • .kdc
  • .key
  • .kpdx
  • .lua
  • .m
  • .m4v
  • .max
  • .mdc
  • .mdf
  • .mef
  • .mfw
  • .mmw
  • .moneywell
  • .mos
  • .mov
  • .mp3
  • .mp4
  • .mpg
  • .mrw
  • .msg
  • .myd
  • .nd
  • .ndd
  • .nef
  • .nk2
  • .nop
  • .nrw
  • .ns2
  • .ns3
  • .ns4
  • .nsd
  • .nsf
  • .nsg
  • .nsh
  • .nwb
  • .nx2
  • .nxl
  • .nyf
  • .oab
  • .obj
  • .odb
  • .odc
  • .odf
  • .odg
  • .odm
  • .odp
  • .ods
  • .odt
  • .oil
  • .orf
  • .ost
  • .otg
  • .oth
  • .otp
  • .ots
  • .ott
  • .p12
  • .p7b
  • .p7c
  • .pab
  • .pages
  • .pas
  • .pat
  • .pcd
  • .pct
  • .pdb
  • .pdd
  • .pef
  • .pem
  • .pfx
  • .pl
  • .plc
  • .pot
  • .potm
  • .potx
  • .ppam
  • .pps
  • .ppsm
  • .ppsx
  • .pptm
  • .prf
  • .ps
  • .psafe3
  • .psd
  • .pspimage
  • .ptx
  • .py
  • .qba
  • .qbb
  • .qbm
  • .qbr
  • .qbw
  • .qbx
  • .qby
  • .r3d
  • .raf
  • .rat
  • .raw
  • .rdb
  • .rm
  • .rtf
  • .rw2
  • .rwl
  • .rwz
  • .s3db
  • .sas7bdat
  • .say
  • .sd0
  • .sda
  • .sdf
  • .sldm
  • .sldx
  • .sql
  • .sqlite
  • .sqlite3
  • .sqlitedb
  • .sr2
  • .srf
  • .srt
  • .srw
  • .st4
  • .st5
  • .st6
  • .st7
  • .st8
  • .std
  • .sti
  • .stw
  • .stx
  • .svg
  • .swf
  • .sxc
  • .sxd
  • .sxg
  • .sxi
  • .sxi
  • .sxm
  • .sxw
  • .tex
  • .tga
  • .thm
  • .tlg
  • .vob
  • .war
  • .wallet
  • .wav
  • .wb2
  • .wmv
  • .wpd
  • .wps
  • .x11
  • .x3f
  • .xis
  • .xla
  • .xlam
  • .xlk
  • .xlm
  • .xlr
  • .xlsb
  • .xlsm
  • .xlt
  • .xltm
  • .xltx
  • .xlw
  • .ycbcra
  • .yuv

  解決方案

最低掃瞄引擎: 9.800
第一個 VSAPI 病毒碼檔案: 12.358.07
第一個 VSAPI 病毒碼發行日期: 2016年2月22日
VSAPI OPR 病毒碼版本: 12.359.00
VSAPI OPR 病毒碼發行日期: 2016年2月23日

Step 1

對於 Windows ME 和 XP 使用者,在執行任何掃瞄之前,請確定您已關閉「系統還原」,以便能完整掃瞄您的電腦。

Step 2

搜尋並刪除這些檔案

[ 學到更多 ]
有些可能是隱藏的元件檔案。請確定您已在「進階選項」中選取「搜尋隱藏的檔案和資料夾」核取方塊,以在搜尋結果中包含所有隱藏的檔案和資料夾。  
  • HELP_DECRYPT_YOUR_FILES.html
DATA_GENERIC_FILENAME_1
  • 在「查詢」下拉式清單中選取「我的電腦」,然後按 Enter 鍵。
  • 找到檔案之後,請選取檔案,然後按 SHIFT+DELETE 以永久刪除檔案。
  • 針對其餘的檔案重複步驟 2 到 4:
       
      • HELP_DECRYPT_YOUR_FILES.html
  • Step 3

    使用您的趨勢科技產品掃瞄電腦,以刪除所偵測到如 RANSOM_CRYPSAM.B 的檔案 如果偵測到的檔案已被您的趨勢科技產品清除、刪除或隔離,則不需要進一步的動作。您可以選擇刪除隔離的檔案。請參考此常見問題集頁面瞭解詳細資訊。


    說說您對安全威脅百科的想法