撰文: Wilbert Vidal   

 平台:

Windows

 整體風險評比:
 潛在威脅性:
 潛在散播風險:
 報告感染 :
 資訊暴露評比:

  • 惡意程式類型:
    Ransomware

  • 具破壞性:

  • 被加密:

  • In the wild:

  總覽與描述

它會修改 Internet Explorer 區域設定。

  詳細技術資訊

檔案大小: 315,400 bytes
檔案類型: EXE
記憶體常駐型:
首批樣本接收日期: 2018年3月13日

安裝

它會將本身的下列副本放置到受影響的系統:

  • %Application Data%\Microsoft\{6 random character}.exe

(注意:%Application Data% 是目前使用者的 Application Data 資料夾,通常是 C:\Windows\Profiles\{user name}\Application Data(Windows 98 和 ME)、C:\WINNT\Profiles\{user name}\Application Data (Windows NT),以及 C:\Documents and Settings\{user name}\Local Settings\Application Data(Windows 2000、XP 和 Server 2003)。)

自動啟動技術

它會修改下列登錄項目,以確保其在每次系統啟動時自動執行:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\RunOnce
{11 random characters} = %Application Data%\Microsoft\{6 random character}.exe

修改網路瀏覽器首頁與搜尋頁面

它會修改 Internet Explorer 區域設定。

  解決方案

最低掃瞄引擎: 9.850
第一個 VSAPI 病毒碼檔案: 14.126.08
第一個 VSAPI 病毒碼發行日期: 2018年3月13日
VSAPI OPR 病毒碼版本: 14.127.00
VSAPI OPR 病毒碼發行日期: 2018年3月14日

Step 1

對於 Windows ME 和 XP 使用者,在執行任何掃瞄之前,請確定您已關閉「系統還原」,以便能完整掃瞄您的電腦。

Step 3

重新啟動至安全模式

[ 學到更多 ]

Step 4

還原這個修改過的登錄值

[ 學到更多 ]

重要:不當編輯「Windows 登錄」可能會導致系統故障而無法回復。請在您有把握或有系統管理員協助的情況下執行此步驟。或者,在修改電腦的登錄之前,先閱讀此 Microsoft 文章

 
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
    • {11 random characters} = %Application Data%\Microsoft\{6 random characters}.exe

Step 5

搜尋並刪除這些檔案

[ 學到更多 ]
有些可能是隱藏的元件檔案。請確定您已在「進階選項」中選取「搜尋隱藏的檔案和資料夾」核取方塊,以在搜尋結果中包含所有隱藏的檔案和資料夾。
  • {encrypted folder}\CRAB-DECRYPT.txt
DATA_GENERIC_FILENAME_1
  • 在「查詢」下拉式清單中選取「我的電腦」,然後按 Enter 鍵。
  • 找到檔案之後,請選取檔案,然後按 SHIFT+DELETE 以永久刪除檔案。
  • 針對其餘的檔案重複步驟 2 到 4:
      • {encrypted folder}\CRAB-DECRYPT.txt
  • Step 6

    重新啟動至標準模式,並使用您的趨勢科技產品掃瞄電腦是否有偵測到如 RANSOM_GANDCRAB.AOBFY 的檔案 如果偵測到的檔案已被您的趨勢科技產品清除、刪除或隔離,則不需要進一步的動作。您可以選擇刪除隔離的檔案。請參考此常見問題集頁面瞭解詳細資訊。


    說說您對安全威脅百科的想法