Ransom.MSIL.COBRALOCKER.AA
Trojan-Ransom.FileCrypter (IKARUS), W32/Encoder.AFA!tr (FORTINET)
Windows
恶意软件类型:
Ransomware
有破坏性?:
没有
加密?:
没有
In the Wild:
是的
概要
它可能是由其他恶意软件植入。
它删除文件,禁止程序和应用程序正常运行。
技术详细信息
新病毒详细信息
它可能是由下列恶意软件植入:
安装
它植入下列文件:
- %System%\LogonUI.exe
(注意: %System% 是 Windows 的 system 文件夹,通常位于 C:\Windows\System (Windows 98 和 ME)、C:\WINNT\System32 (Windows NT 和 2000) 和 C:\WINDOWS\system32 (Windows 2000(32-bit)、XP、Server 2003(32-bit)、Vista、7、8、8.1、2008(64-bit),2012(64bit) 和 10(64-bit))。)
它添加下列进程:
- "C:\Windows\System32\cmd.exe" /takeown /f C:\Windows\System32\Taskmgr.exe && icacls C:\Windows\System32\Taskmgr.exe /grant %username%:F && del C:\Windows\System32\Taskmgr.exe && takeown /f C:\Windows\System32\LogonUI.exe && icacls C:\Windows\System32\LogonUI.exe /grant %username%:F && del C:\Windows\System32\LogonUI.exe && exit
- "C:\Windows\System32\shutdown.exe" /r /f /t 0
其他系统修改
它删除下列文件:
- %Desktop%\desktop.ini
- %User Profile%\Downloads\desktop.ini
- %User Profile%\Pictures\desktop.ini
- %User Profile%\Documents\desktop.ini
(注意: %Desktop% 是当前用户的桌面,通常位于 C:\Windows\Profiles\{user name}\Desktop (Windows 98 和 ME)、C:\WINNT\Profiles\{user name}\Desktop (Windows NT)、C:\Documents and Settings\{User Name}\桌面 (Windows 2000(32-bit)、XP 和 Server 2003(32-bit)) 和 C:\Users\{user name}\Desktop (Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit) 和 10(64-bit))。. %User Profile% 是当前用户的概要文件文件夹,通常位于 C:\Windows\Profiles\{user name} (Windows 98 和 ME)、C:\WINNT\Profiles\{user name} (Windows NT)、C:\Documents and Settings\{user name} (Windows 2000(32-bit)、XP 和 Server 2003(32-bit)) 和 C:\Users\{user name} (Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit) 和 10(64-bit))。)
它添加下列注册表项:
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
System
DisableTaskMgr = 1
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
System
DisableRegistryTools = 1
它修改下列注册表项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\Current Version\Winlogon
Shell = empty
进程终止
它终止在受感染的系统内存中运行的下列进程:
- cmd
- regedit
- Processhacker
- sdclt
- powershell
其他详细信息
它添加下列注册表键值:
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
System
该程序执行以下操作:
- The sample will delete the legitimate %System%\LogonUI.exe which will then be replaced by moving a dropped file %System Root%\LogonUI.exe to %System% which is responsible for displaying the following message on the screen:
Upon clicking "Contact Us", it will display the following message:
- It encrypts files found in the following directories:
- %Desktop%
- %User Profile%\Downloads
- %User Profile%\Pictures
解决方案
Step 2
对于Windows ME和XP用户,在扫描前,请确认已禁用系统还原功能,才可全面扫描计算机。
Step 3
请注意,在执行此恶意软件/间谍软件/灰色软件期间,并非所有文件、文件夹、注册表项和条目都安装在您的计算机上。这可能是由于安装不完整或其他操作系统条件造成的。如果找不到相同的文件/文件夹/注册表信息,请继续下一步。
Step 4
启用注册表编辑器、任务管理器和文件夹选项
启用注册表编辑器、任务管理器和文件夹选项:
- 打开记事本。要执行此操作,请单击“开始”>“运行”,在提供的文本框中输入 Notepad,然后按 Enter。
- 复制并粘贴下列脚本:
- 将此文件另存为 C:\RESTORE.VBS。
- 请 再次单击“开始”>“运行”,在提供的文本框中输入 C:\RESTORE.VBS,然后按 Enter。
- 在出现消息框提示时单击“是”执行 .VBS 文件。
Step 5
删除该注册表键值
注意事项:错误编辑Windows注册表会导致不可挽回的系统故障。只有在您掌握后或在系统管理员的帮助下才能完成这步。或者,请先阅读Microsoft文章,然后再修改计算机注册表。
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
Step 6
恢复该修改的注册表值
注意事项:错误编辑Windows注册表会导致不可挽回的系统故障。只有在您掌握后或在系统管理员的帮助下才能完成这步。或者,请先阅读Microsoft文章,然后再修改计算机注册表。
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Current Version\Winlogon
- From: Shell = empty
To:
Shell = {Default Value}
- From: Shell = empty
Step 7
搜索和删除该文件
- %System%\LogonUI.exe (Please make sure that the filesize is equal to 12,800 bytes or 12.5KB)
Step 8
Restore this file from backup only Microsoft-related files will be restored. If this malware/grayware also deleted files related to programs that are not from Microsoft, please reinstall those programs on you computer again.
- %Desktop%\desktop.ini
- %User Profile%\Downloads\desktop.ini
- %User Profile%\Pictures\desktop.ini
- %User Profile%\Documents\desktop.ini
Step 9
使用趋势科技产品扫描计算机,并删除检测到的Ransom.MSIL.COBRALOCKER.AA文件 如果检测到的文件已被趋势科技产品清除、删除或隔离,则无需采取进一步措施。可以选择直接删除隔离的文件。请参阅知识库页面了解详细信息。
Step 10
从备份中还原被加密的文件。