撰文: Michael Jay Villanueva   

 :

Trojan-Ransom.Win32.Crypren.acrj (Kaspersky); Trojan:Win32/Dynamer!ac (Microsoft); TR/Samca.qqhi (Avira)

 平台:

Windows

 整體風險評比:
 潛在威脅性:
 潛在散播風險:
 報告感染 :
 資訊暴露評比:

  • 惡意程式類型:
    Worm

  • 具破壞性:

  • 被加密:
     

  • In the wild:

  總覽與描述

感染管道: 從互聯網上下載

要获取此间谍软件行为的简要综述,请参考以下“威胁图”。

它會連線至特定網站以傳送和接收資訊。

  詳細技術資訊

檔案大小: 809,984 bytes
檔案類型: EXE
記憶體常駐型:
首批樣本接收日期: 2016年5月24日

安裝

它會將本身的下列副本放置到受影響的系統:

  • %Application Data%\zcrypt.exe -> attributes are set to Hidden and System

(注意:%Application Data% 是目前使用者的 Application Data 資料夾,通常是 C:\Windows\Profiles\{user name}\Application Data(Windows 98 和 ME)、C:\WINNT\Profiles\{user name}\Application Data (Windows NT),以及 C:\Documents and Settings\{user name}\Local Settings\Application Data(Windows 2000、XP 和 Server 2003)。)

它會放置下列檔案:

  • %Application Data%\btc.addr -> Bitcoin Address
  • %Application Data%\cid.ztxt -> contains the victim's ID
  • %Application Data%\public.key -> public key
  • %Application Data%\private.key -> private key

(注意:%Application Data% 是目前使用者的 Application Data 資料夾,通常是 C:\Windows\Profiles\{user name}\Application Data(Windows 98 和 ME)、C:\WINNT\Profiles\{user name}\Application Data (Windows NT),以及 C:\Documents and Settings\{user name}\Local Settings\Application Data(Windows 2000、XP 和 Server 2003)。)

它會新增下列 Mutex 以確保任何時候只會有一個副本執行:

  • zcrypt1.0

自動啟動技術

它會新增下列登錄項目,使其在每次系統啟動時自動執行:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
zcrypt = {path of the executed malware}

它會放置下列檔案:

  • {Removable Drive Letter}:\autorun.inf

它會將下列檔案放置到 Windows Startup 資料夾,以使其可在每次系統啟動時自動執行:

  • %User Startup%\zcrypt.lnk -> Shortcut file for the executed malware

(注意:%User Startup% 是目前使用者的「啟動」資料夾,通常是 C:\Windows\Profiles\{user name}\「開始」功能表\程式集\啟動(Windows 98 和 ME)、C:\WINNT\Profiles\{user name}\「開始」功能表\程式集\啟動 (Windows NT),以及 C:\Documents and Settings\{User name}\「開始」功能表\程式集\啟動。)

傳播

它會在所有卸除式磁碟機中放置本身的下列副本:

  • {Removable Drive Letter}:\System.exe -> attribute is set to Hidden

其他詳細資訊

它會連線至下列網站以傳送和接收資訊:

  • http://{BLOCKED}rewq.ml/rsa/rsa.php?computerid={victim ID}&public=1

它會加密副檔名如下的檔案:

  • .3fr
  • .accdb
  • .apk
  • .arw
  • .aspx
  • .avi
  • .bak
  • .bay
  • .bmp
  • .cdr
  • .cer
  • .cgi
  • .class
  • .cpp
  • .cr2
  • .crt
  • .crw
  • .dbf
  • .dcr
  • .der
  • .dng
  • .doc
  • .docx
  • .dwg
  • .dxg
  • .emlx
  • .eps
  • .erf
  • .gz
  • .html
  • .indd
  • .jar
  • .java
  • .jpeg
  • .jpg
  • .jsp
  • .kdc
  • .log
  • .mdb
  • .mdf
  • .mef
  • .mp4
  • .mpeg
  • .msg
  • .nrw
  • .odb
  • .odp
  • .ods
  • .odt
  • .orf
  • .p12
  • .p7b
  • .p7c
  • .pdb
  • .pdd
  • .pdf
  • .pef
  • .pem
  • .pfx
  • .php
  • .png
  • .ppt
  • .pptx
  • .psd
  • .pst
  • .ptx
  • .r3d
  • .raf
  • .raw
  • .rtf
  • .rw2
  • .rwl
  • .sav
  • .sql
  • .srf
  • .srw
  • .swf
  • .tar
  • .tar
  • .txt
  • .vcf
  • .wb2
  • .wmv
  • .wpd
  • .xls
  • .xlsx
  • .xml
  • .zip

它會使用下列名稱重新命名加密的檔案:

  • {original filename}.zcrypt

  解決方案

最低掃瞄引擎: 9.800
第一個 VSAPI 病毒碼檔案: 12.546.08
第一個 VSAPI 病毒碼發行日期: 2016年5月24日
VSAPI OPR 病毒碼版本: 12.547.00
VSAPI OPR 病毒碼發行日期: 2016年5月25日

Step 1

對於 Windows ME 和 XP 使用者,在執行任何掃瞄之前,請確定您已關閉「系統還原」,以便能完整掃瞄您的電腦。

Step 3

重新啟動至安全模式

[ 學到更多 ]

Step 4

刪除此登錄值

[ 學到更多 ]

重要:不當編輯「Windows 登錄」可能會導致系統故障而無法回復。請在您有把握或有系統管理員協助的情況下執行此步驟。或者,在修改電腦的登錄之前,先閱讀此 Microsoft 文章

  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    • zcrypt = {path of the executed malware}

Step 6

搜尋並刪除這些檔案

[ 學到更多 ]
有些可能是隱藏的元件檔案。請確定您已在「進階選項」中選取「搜尋隱藏的檔案和資料夾」核取方塊,以在搜尋結果中包含所有隱藏的檔案和資料夾。
  • %Application Data%\zcrypt.exe
  • %Application Data%\cid.ztxt
  • %Application Data%\public.key
  • %Application Data%\private.key
  • %Application Data%\btc.addr
  • %User Startup%\zcrypt.lnk
  • {Removable Drive Letter}:\autorun.inf
  • {Removable Drive Letter}:\System.exe
  • How to decrypt your files.html
DATA_GENERIC_FILENAME_1
  • 在「查詢」下拉式清單中選取「我的電腦」,然後按 Enter 鍵。
  • 找到檔案之後,請選取檔案,然後按 SHIFT+DELETE 以永久刪除檔案。
  • 針對其餘的檔案重複步驟 2 到 4:
      • %Application Data%\zcrypt.exe
      • %Application Data%\cid.ztxt
      • %Application Data%\public.key
      • %Application Data%\private.key
      • %Application Data%\btc.addr
      • %User Startup%\zcrypt.lnk
      • {Removable Drive Letter}:\autorun.inf
      • {Removable Drive Letter}:\System.exe
      • How to decrypt your files.html
  • Step 7

    重新啟動至標準模式,並使用您的趨勢科技產品掃瞄電腦是否有偵測到如 RANSOM_ZCRYPT.A 的檔案 如果偵測到的檔案已被您的趨勢科技產品清除、刪除或隔離,則不需要進一步的動作。您可以選擇刪除隔離的檔案。請參考此常見問題集頁面瞭解詳細資訊。


    說說您對安全威脅百科的想法