撰文: Jeanne Jocson   

 平台:

Windows

 整體風險評比:
 潛在威脅性:
 潛在散播風險:
 報告感染 :
 資訊暴露評比:

  • 惡意程式類型:
    Trojan

  • 具破壞性:

  • 被加密:

  • In the wild:

  總覽與描述

感染管道: 從互聯網上下載, 下降了其他惡意軟件

要获取此间谍软件行为的简要综述,请参考以下“威胁图”。

  詳細技術資訊

檔案大小: 118,784 bytes
檔案類型: EXE
記憶體常駐型:
首批樣本接收日期: 2016年9月1日

安裝

它會使用不同的檔案名稱將本身的副本放置到下列資料夾:

  • %User Temp%\{random filename}.exe

(注意:%User Temp% 是目前使用者的 Temp 資料夾,通常是 C:\Documents and Settings\{user name}\Local Settings\Temp(Windows 2000、XP 和 Server 2003)。)

它會建立下列資料夾:

  • %Desktop%\old_shortcut-Transfers here all the files/folders/shortcuts currently in your desktop that haven't been encrypted.

(注意:%Desktop% 是目前使用者的桌面,通常是 C:\Windows\Profiles\{user name}\Desktop(Windows 98 和 ME)、C:\WINNT\Profiles\{user name}\Desktop (Windows NT),以及 C:\Documents and Settings\{User Name}\Desktop(Windows 2000、XP 和 Server 2003)。)

其他系統修改

它會新增下列登錄機碼:

HKEY_CURRENT_USER\Software\{random filename}

HKLM\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Tracing\
CtlGuid

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Tracing\
ServiceCtlGuid

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Tracing\
WLanDiagCtlGuid

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Tracing\
DiagL2SecCtlGuid

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Tracing\
WDiagCoreCtlGuid

它會新增下列登錄項目:

HKEY_CURRENT_USER\Software\{random filename}
{random file name 1} = "{hex values}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Tracing\
CtlGuid
Guid = "{GUID}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Tracing\
ServiceCtlGuid
Guid = "{GUID}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Tracing\
ServiceCtlGuid
BitNames = "DOT11_AUTOCONF DOT11_AUTOCONF_CLIENT DOT11_AUTOCONF_UI DOT11_FATMSM DOT11_COMMON DOT11_WLANGPA DOT11_CLASS_COINSTALLER"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Tracing\
WLanDiagCtlGuid
Guid = "{GUID}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Tracing\
WLanDiagCtlGuid
BitNames = "WLANHC_AUTOCONFIG WLANHC_RNWFMSM WLANHC_FATMSM WLANHC_DLLMAIN WLANHC_TEST"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Tracing\
DiagL2SecCtlGuid
Guid = "{GUID}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Tracing\
DiagL2SecCtlGuid
BitNames = "SECHC_LOG_FLAG_ASSERT SECHC_LOG_FLAG_INIT SECHC_LOG_FLAG_DIAG SECHC_LOG_FLAG_ONEX_DIAG SECHC_LOG_FLAG_REPAIR SECHC_LOG_FLAG_STATE SECHC_LOG_FLAG_EXT SECHC_LOG_FLAG_EVENT_LOG SECHC_LOG_FLAG_FUNCTION SECHC_LOG_FLAG_MEMORY SECHC_LOG_FLAG_LOCKS"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Tracing\
WDiagCoreCtlGuid
Guid = "{GUID}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Tracing\
WDiagCoreCtlGuid
BitNames = "WD_LOG_FLAG_INIT WD_LOG_FLAG_RPC WD_LOG_FLAG_EVENT WD_LOG_FLAG_INTERFACE WD_LOG_FLAG_CONNECTION WD_LOG_FLAG_CONTROL WD_LOG_FLAG_LOCKS WD_LOG_FLAG_MEMORY WD_LOG_FLAG_REFERENCES WD_LOG_FLAG_FUNCTION_TRACE WD_LOG_FLAG_ASSERT"

它會修改下列登錄項目:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings\
ZoneMap
ProxyBypass= = "1"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings\
ZoneMap
IntranetName = "1"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings\
ZoneMap
UNCAsIntranet = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Tracing
LogSessionName = "stdout"

植入程序

它會放置下列檔案:

  • %User Startup%\{random file name 1}.lnk-links to the dropped malware copy
  • %User Startup%\{random file name 2}.lnk-links to the ransomnote
  • %User Temp%\{random file name 3}.html-serves as ransomnote
  • C:\0.tmp
  • C:\1.tmp
  • D:\2.tmp
  • D:\3.tmp

(注意:%User Startup% 是目前使用者的「啟動」資料夾,通常是 C:\Windows\Profiles\{user name}\「開始」功能表\程式集\啟動(Windows 98 和 ME)、C:\WINNT\Profiles\{user name}\「開始」功能表\程式集\啟動 (Windows NT),以及 C:\Documents and Settings\{User name}\「開始」功能表\程式集\啟動。. %User Temp% 是目前使用者的 Temp 資料夾,通常是 C:\Documents and Settings\{user name}\Local Settings\Temp(Windows 2000、XP 和 Server 2003)。)

其他詳細資訊

它會加密副檔名如下的檔案:

  • .dat
  • .mx0
  • .cd
  • .pdb
  • .xqx
  • .old
  • .cnt
  • .rtp
  • .qss
  • .qst
  • .fx0
  • .fx1
  • .ipg
  • .ert
  • .pic
  • .img
  • .cur
  • .fxr
  • .slk
  • .m4u
  • .mpe
  • .mov
  • .wmv
  • .mpg
  • .vob
  • .mpeg
  • .3g2
  • .m4v
  • .avi
  • .mp4
  • .flv
  • .mkv
  • .3gp
  • .asf
  • .m3u
  • .m3u8
  • .wav
  • .mp3
  • .m4a
  • .m
  • .rm
  • .flac
  • .mp2
  • .mpa
  • .aac
  • .wma
  • .djv
  • .pdf
  • .djvu
  • .jpeg
  • .jpg
  • .bmp
  • .png
  • .jp2
  • .lz
  • .rz
  • .zipx
  • .gz
  • .bz2
  • .s7z
  • .tar
  • .7z
  • .tgz
  • .rar
  • .zip
  • .arc
  • .paq
  • .bak
  • .set
  • .back
  • .std
  • .vmx
  • .vmdk
  • .vdi
  • .qcow
  • .ini
  • .accd
  • .db
  • .sqli
  • .sdf
  • .mdf
  • .myd
  • .frm
  • .odb
  • .myi
  • .dbf
  • .indb
  • .mdb
  • .ibd
  • .sql
  • .cgn
  • .dcr
  • .fpx
  • .pcx
  • .rif
  • .tga
  • .wpg
  • .wi
  • .wmf
  • .tif
  • .xcf
  • .tiff
  • .xpm
  • .nef
  • .orf
  • .ra
  • .bay
  • .pcd
  • .dng
  • .ptx
  • .r3d
  • .raf
  • .rw2
  • .rwl
  • .kdc
  • .yuv
  • .sr2
  • .srf
  • .dip
  • .x3f
  • .mef
  • .raw
  • .log
  • .odg
  • .uop
  • .potx
  • .potm
  • .pptx
  • .rss
  • .pptm
  • .aaf
  • .xla
  • .sxd
  • .pot
  • .eps
  • .as3
  • .pns
  • .wpd
  • .wps
  • .msg
  • .pps
  • .xlam
  • .xll
  • .ost
  • .sti
  • .sxi
  • .otp
  • .odp
  • .wks
  • .vcf
  • .xltx
  • .xltm
  • .xlsx
  • .xlsm
  • .xlsb
  • .cntk
  • .xlw
  • .xlt
  • .xlm
  • .xlc
  • .dif
  • .sxc
  • .vsd
  • .ots
  • .prn
  • .ods
  • .hwp
  • .dotm
  • .dotx
  • .docm
  • .docx
  • .dot
  • .cal
  • .shw
  • .sldm
  • .txt
  • .csv
  • .mac
  • .met
  • .wk3
  • .wk4
  • .uot
  • .rtf
  • .sldx
  • .xls
  • .ppt
  • .stw
  • .sxw
  • .dtd
  • .eml
  • .ott
  • .odt
  • .doc
  • .odm
  • .ppsm
  • .xlr
  • .odc
  • .xlk
  • .ppsx
  • .obi
  • .ppam
  • .text
  • .docb
  • .wb2
  • .mda
  • .wk1
  • .sxm
  • .otg
  • .oab
  • .cmd
  • .bat
  • .h
  • .asx
  • .lua
  • .pl
  • .as
  • .hpp
  • .clas
  • .js
  • .fla
  • .py
  • .rb
  • .jsp
  • .cs
  • .c
  • .jar
  • .java
  • .asp
  • .vb
  • .vbs
  • .asm
  • .pas
  • .cpp
  • .xml
  • .php
  • .plb
  • .asc
  • .lay6
  • .pp4
  • .pp5
  • .ppf
  • .pat
  • .sct
  • .ms11
  • .lay
  • .iff
  • .ldf
  • .tbk
  • .swf
  • .brd
  • .css
  • .dxf
  • .dds
  • .efx
  • .sch
  • .dch
  • .ses
  • .mml
  • .fon
  • .gif
  • .psd
  • .html
  • .ico
  • .ipe
  • .dwg
  • .jng
  • .cdr
  • .aep
  • .aepx
  • .123
  • .prel
  • .prpr
  • .aet
  • .fim
  • .pfb
  • .ppj
  • .indd
  • .mhtm
  • .cmx
  • .cpt
  • .csl
  • .indl
  • .dsf
  • .ds4
  • .drw
  • .indt
  • .pdd
  • .per
  • .lcd
  • .pct
  • .prf
  • .pst
  • .inx
  • .plt
  • .idml
  • .pmd
  • .psp
  • .ttf
  • .3dm
  • .ai
  • .3ds
  • .ps
  • .cpx
  • .str
  • .cgm
  • .clk
  • .cdx
  • .xhtm
  • .cdt
  • .fmv
  • .aes
  • .gem
  • .max
  • .svg
  • .mid
  • .iif
  • .nd
  • .2017
  • .tt20
  • .qsm
  • .2015
  • .2014
  • .2013
  • .aif
  • .qbw
  • .qbb
  • .qbm
  • .ptb
  • .qbi
  • .qbr
  • .2012
  • .des
  • .v30
  • .qbo
  • .stc
  • .lgb
  • .qwc
  • .qbp
  • .qba
  • .tlg
  • .qbx
  • .qby
  • .1pa
  • .ach
  • .qpd
  • .gdb
  • .tax
  • .qif
  • .t14
  • .qdf
  • .ofx
  • .qfx
  • .t13
  • .ebc
  • .ebq
  • .2016
  • .tax2
  • .mye
  • .myox
  • .ets
  • .tt14
  • .epb
  • .500
  • .txf
  • .t15
  • .t11
  • .gpc
  • .qtx
  • .itf
  • .tt13
  • .t10
  • .qsd
  • .iban
  • .ofc
  • .bc9
  • .mny
  • .13t
  • .qxf
  • .amj
  • .m14
  • ._vc
  • .tbp
  • .qbk
  • .aci
  • .npc
  • .qbmb
  • .sba
  • .cfp
  • .nv2
  • .tfx
  • .n43
  • .let
  • .tt12
  • .210
  • .dac
  • .slp
  • .qb20
  • .saj
  • .zdb
  • .tt15
  • .ssg
  • .t09
  • .epa
  • .qch
  • .pd6
  • .rdy
  • .sic
  • .ta1
  • .lmr
  • .pr5
  • .op
  • .sdy
  • .brw
  • .vnd
  • .esv
  • .kd3
  • .vmb
  • .qph
  • .t08
  • .qel
  • .m12
  • .pvc
  • .q43
  • .etq
  • .u12
  • .hsr
  • .ati
  • .t00
  • .mmw
  • .bd2
  • .ac2
  • .qpb
  • .tt11
  • .zix
  • .ec8
  • .nv
  • .lid
  • .qmtf
  • .hif
  • .lld
  • .quic
  • .mbsb
  • .nl2
  • .qml
  • .wac
  • .cf8
  • .vbpf
  • .m10
  • .qix
  • .t04
  • .qpg
  • .quo
  • .ptdb
  • .gto
  • .pr0
  • .vdf
  • .q01
  • .fcr
  • .gnc
  • .ldc
  • .t05
  • .t06
  • .tom
  • .tt10
  • .qb1
  • .t01
  • .rpf
  • .t02
  • .tax1
  • .1pe
  • .skg
  • .pls
  • .t03
  • .xaa
  • .dgc
  • .mnp
  • .qdt
  • .mn8
  • .ptk
  • .t07
  • .chg
  • .#vc
  • .qfi
  • .acc
  • .m11
  • .kb7
  • .q09
  • .esk
  • .09i
  • .cpw
  • .sbf
  • .mql
  • .dxi
  • .kmo
  • .md
  • .u11
  • .oet
  • .ta8
  • .efs
  • .h12
  • .mne
  • .ebd
  • .fef
  • .qpi
  • .mn5
  • .exp
  • .m16
  • .09t
  • .00c
  • .qmt
  • .cfdi
  • .u10
  • .s12
  • .qme
  • .int?
  • .cf9
  • .ta5
  • .u08
  • .mmb
  • .qnx
  • .q07
  • .tb2
  • .say
  • .ab4
  • .pma
  • .defx
  • .tkr
  • .q06
  • .tpl
  • .ta2
  • .qob
  • .m15
  • .fca
  • .eqb
  • .q00
  • .mn4
  • .lhr
  • .t99
  • .mn9
  • .qem
  • .scd
  • .mwi
  • .mrq
  • .q98
  • .i2b
  • .mn6
  • .q08
  • .kmy
  • .bk2
  • .stm
  • .mn1
  • .bc8
  • .pfd
  • .bgt
  • .hts
  • .tax0
  • .cb
  • .resx
  • .mn7
  • .08i
  • .mn3
  • .ch
  • .meta
  • .07i
  • .rcs
  • .dtl
  • .ta9
  • .mem
  • .seam
  • .btif
  • .11t
  • .efsl
  • .$ac
  • .emp
  • .imp
  • .fxw
  • .sbc
  • .bpw
  • .mlb
  • .10t
  • .fa1
  • .saf
  • .trm
  • .fa2
  • .pr2
  • .xeq
  • .sbd
  • .fcpa
  • .ta6
  • .tdr
  • .acm
  • .lin
  • .dsb
  • .vyp
  • .emd
  • .pr1
  • .mn2
  • .bpf
  • .mws
  • .h11
  • .pr3
  • .gsb
  • .mlc
  • .nni
  • .cus
  • .ldr
  • .ta4
  • .inv
  • .omf
  • .reb
  • .qdfx
  • .pg
  • .coa
  • .rec
  • .rda
  • .ffd
  • .ml2
  • .ddd
  • .ess
  • .qbmd
  • .afm
  • .d07
  • .vyr
  • .acr
  • .dtau
  • .ml9
  • .bd3
  • .pcif
  • .cat
  • .h10
  • .ent
  • .fyc
  • .p08
  • .jsd
  • .zka
  • .hbk
  • .mone
  • .pr4
  • .qw5
  • .cdf
  • .gfi
  • .cht
  • .por
  • .qbz
  • .ens
  • .3pe
  • .pxa
  • .intu
  • .trn
  • .3me
  • .07g
  • .jsda
  • .2011
  • .fcpr
  • .qwmo
  • .t12
  • .pfx
  • .p7b
  • .der
  • .nap
  • .p12
  • .p7c
  • .crt
  • .csr
  • .pem
  • .gpg
  • .key

它會使用下列名稱重新命名加密的檔案:

  • {filename of encrypted files}.cry

  解決方案

最低掃瞄引擎: 9.800
第一個 VSAPI 病毒碼檔案: 12.750.04
第一個 VSAPI 病毒碼發行日期: 2016年9月1日
VSAPI OPR 病毒碼版本: 12.751.00
VSAPI OPR 病毒碼發行日期: 2016年9月2日

Step 1

對於 Windows ME 和 XP 使用者,在執行任何掃瞄之前,請確定您已關閉「系統還原」,以便能完整掃瞄您的電腦。

Step 3

刪除此登錄機碼

[ 學到更多 ]

重要:不當編輯「Windows 登錄」可能會導致系統故障而無法回復。請在您有把握或有系統管理員協助的情況下執行此步驟。或者,在修改電腦的登錄之前,先閱讀此 Microsoft 文章

  • In HKEY_CURRENT_USER\Software\{random file name}
    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Tracing\CtlGuid
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Tracing\ServiceCtlGuid
    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Tracing\WLanDiagCtlGuid
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Tracing\DiagL2SecCtlGuid
    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Tracing\WDiagCoreCtlGuid
336.2

如果要刪除此惡意程式/可能的資安威脅程式/間諜程式建立的登錄機碼,請執行下列動作:

  1. 開啟「登錄編輯程式」。如果要執行此動作,請按一下「開始∣執行」,在提供的文字方塊中輸入 regedit,然後按 Enter 鍵。
  2. 在「登錄編輯程式」視窗左邊的窗格中,按兩下下列登錄機碼:
    DATA_GENERIC_KEY
  3. 繼續在左邊的窗格中尋找並刪除下列機碼:
    DATA_GENERIC_KEYDEL
  4. 關閉「登錄編輯程式」。

Step 4

搜尋並刪除此檔案

[ 學到更多 ]
有些可能是隱藏的元件檔案。請確定您已在「進階選項」中選取「搜尋隱藏的檔案和資料夾」核取方塊,以在搜尋結果中包含所有隱藏的檔案和資料夾。
  • %User Startup%\{random file name 1}.lnk
  • %User Startup%\{random file name 2}.lnk
  • %User Temp%\{random file name 3}.html
  • C:\0.tmp
  • C:\1.tmp
  • D:\2.tmp
  • D:\3.tmp

Step 5

使用您的趨勢科技產品掃瞄電腦,以刪除所偵測到如 RANSOM_MILICRY.A 的檔案 如果偵測到的檔案已被您的趨勢科技產品清除、刪除或隔離,則不需要進一步的動作。您可以選擇刪除隔離的檔案。請參考此常見問題集頁面瞭解詳細資訊。

Step 7

搜尋並刪除這些資料夾

[ 學到更多 ]
請確定您已在「進階選項」中選取「搜尋隱藏的檔案和資料夾」核取方塊,以在搜尋結果中包含所有隱藏的資料夾。 DATA_GENERIC
  • 在「查詢」下拉式清單中選取「我的電腦」,然後按 Enter 鍵。
  • 找到資料夾之後,請選取資料夾,然後按 SHIFT+DELETE 以永久刪除資料夾。
  • 針對其餘的資料夾重複步驟 2 到 4:
      DATA_GENERIC


  • 說說您對安全威脅百科的想法