撰文: Homer Pacag   

 :

Ransom:Win32/Genasom (Microsoft); Win32/Filecoder.Stampado.A trojan, Win32/Filecoder.Stampado.A (ESET-NOD32);

 平台:

Windows

 整體風險評比:
 潛在威脅性:
 潛在散播風險:
 報告感染 :
 資訊暴露評比:

  • 惡意程式類型:
    Trojan

  • 具破壞性:

  • 被加密:

  • In the wild:

  總覽與描述

感染管道: 從互聯網上下載

要获取此间谍软件行为的简要综述,请参考以下“威胁图”。

  詳細技術資訊

檔案大小: 886,273 bytes
檔案類型: EXE
記憶體常駐型:
首批樣本接收日期: 2016年7月21日

安裝

它會放置下列檔案:

  • %Application Data%\{random 32 hex characters} - file with larger size contains list of files that was encrypted
  • %Application Data%\{random 32 hex characters} - file with smaller size contains date stamp, process id and status

(注意:%Application Data% 是目前使用者的 Application Data 資料夾,通常是 C:\Windows\Profiles\{user name}\Application Data(Windows 98 和 ME)、C:\WINNT\Profiles\{user name}\Application Data (Windows NT),以及 C:\Documents and Settings\{user name}\Local Settings\Application Data(Windows 2000、XP 和 Server 2003)。)

它會將本身的下列副本放置到受影響的系統:

  • %Application Data%\scvhost.exe

(注意:%Application Data% 是目前使用者的 Application Data 資料夾,通常是 C:\Windows\Profiles\{user name}\Application Data(Windows 98 和 ME)、C:\WINNT\Profiles\{user name}\Application Data (Windows NT),以及 C:\Documents and Settings\{user name}\Local Settings\Application Data(Windows 2000、XP 和 Server 2003)。)

自動啟動技術

它會新增下列登錄項目,使其在每次系統啟動時自動執行:

HKLM\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
Windows Update = %Application Data%\scvhost.exe

其他系統修改

它會修改下列檔案:

  • It encrypts files and appends the extension .locked

其他詳細資訊

它會加密副檔名如下的檔案:

  • .001
  • .3fr
  • .7z
  • .DayZProfile
  • .accdb
  • .ai
  • .aiml
  • .ani
  • .apk
  • .arch00
  • .arw
  • .asset
  • .au3
  • .avi
  • .bak
  • .bar
  • .bay
  • .bc6
  • .bc7
  • .big
  • .bik
  • .bkf
  • .bkp
  • .blob
  • .bmp
  • .bsa
  • .c
  • .cas
  • .cdr
  • .cer
  • .cfr
  • .cpp
  • .cr2
  • .crt
  • .crw
  • .css
  • .csv
  • .d3dbsp
  • .das
  • .dazip
  • .db0
  • .dbfv
  • .dcr
  • .der
  • .desc
  • .dmg
  • .dmp
  • .dng
  • .doc
  • .docm
  • .docx
  • .dwg
  • .dxg
  • .epk
  • .eps
  • .erf
  • .esm
  • .ff
  • .flv
  • .forge
  • .fos
  • .fpk
  • .fsh
  • .gdb
  • .gho
  • .gif
  • .hkdb
  • .hkx
  • .hplg
  • .html
  • .hvpl
  • .ibank
  • .ico
  • .icxs
  • .indd
  • .itdb
  • .itl
  • .itm
  • .iwd
  • .iwi
  • .jpeg
  • .jpg
  • .js
  • .kdb
  • .kdc
  • .kf
  • .layout
  • .lbf
  • .litemod
  • .lrf
  • .ltx
  • .lvl
  • .m2
  • .m3u
  • .m4a
  • .map
  • .mcgame
  • .mcmeta
  • .mdb
  • .mdbackup
  • .mddata
  • .mdf
  • .mef
  • .menu
  • .mlx
  • .mov
  • .mp3
  • .mp4
  • .mpqge
  • .mrwref
  • .ncf
  • .nrw
  • .ntl
  • .odb
  • .odc
  • .odm
  • .odp
  • .ods
  • .odt
  • .orf
  • .p12
  • .p7b
  • .p7c
  • .pak
  • .pas
  • .pdd
  • .pdf
  • .pef
  • .pem
  • .pfx
  • .php
  • .pkpass
  • .png
  • .pps
  • .ppsx
  • .ppt
  • .pptm
  • .pptx
  • .ps
  • .psd
  • .psk
  • .pst
  • .ptx
  • .py
  • .qdf
  • .qic
  • .r3d
  • .raf
  • .rar
  • .raw
  • .rb
  • .re4
  • .rgss3a
  • .rim
  • .rofl
  • .rtf
  • .rw2
  • .rwl
  • .sav
  • .sb
  • .sc2save
  • .sid
  • .sidd
  • .sidn
  • .sie
  • .sis
  • .skp
  • .slm
  • .snx
  • .sql
  • .sr2
  • .srf
  • .srw
  • .sum
  • .svg
  • .syncdb
  • .t12
  • .t13
  • .tax
  • .tor
  • .txt
  • .unity3d
  • .upk
  • .vdf
  • .vfs0
  • .vpk
  • .vpp_pc
  • .vtf
  • .w3x
  • .wav
  • .wb2
  • .wma
  • .wmo
  • .wmv
  • .wotreplay
  • .wpd
  • .wps
  • .x3f
  • .xf
  • .xlk
  • .xls
  • .xlsb
  • .xlsm
  • .xlsx
  • .xml
  • .xxx
  • .zip
  • .ztmp

  解決方案

最低掃瞄引擎: 9.800
第一個 VSAPI 病毒碼檔案: 12.666.07
第一個 VSAPI 病毒碼發行日期: 2016年7月21日
VSAPI OPR 病毒碼版本: 12.667.00
VSAPI OPR 病毒碼發行日期: 2016年7月22日

Step 1

對於 Windows ME 和 XP 使用者,在執行任何掃瞄之前,請確定您已關閉「系統還原」,以便能完整掃瞄您的電腦。

Step 3

重新啟動至安全模式

[ 學到更多 ]

Step 4

刪除此登錄值

[ 學到更多 ]

重要:不當編輯「Windows 登錄」可能會導致系統故障而無法回復。請在您有把握或有系統管理員協助的情況下執行此步驟。或者,在修改電腦的登錄之前,先閱讀此 Microsoft 文章

 
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    • Windows Update = %Application Data%\scvhost.exe

Step 5

搜尋並刪除此檔案

[ 學到更多 ]
有些可能是隱藏的元件檔案。請確定您已在「進階選項」中選取「搜尋隱藏的檔案和資料夾」核取方塊,以在搜尋結果中包含所有隱藏的檔案和資料夾。
  • %Application Data%\scvhost.exe
  • %Application Data%\{random 32 hex characters}

Step 6

重新啟動至標準模式,並使用您的趨勢科技產品掃瞄電腦是否有偵測到如 RANSOM_STAMPADO.A 的檔案 如果偵測到的檔案已被您的趨勢科技產品清除、刪除或隔離,則不需要進一步的動作。您可以選擇刪除隔離的檔案。請參考此常見問題集頁面瞭解詳細資訊。

Step 7

使用您的趨勢科技產品掃瞄電腦,以刪除所偵測到如 RANSOM_STAMPADO.A 的檔案 如果偵測到的檔案已被您的趨勢科技產品清除、刪除或隔離,則不需要進一步的動作。您可以選擇刪除隔離的檔案。請參考此常見問題集頁面瞭解詳細資訊。


說說您對安全威脅百科的想法