Ransom.MSIL.TENCRYPT.THDADBC

2025年2月25日

分析者: Paolo Ronniel Labrador

Ransom:MSIL/CryptNet!MTB (MICROSOFT)

平台:

Windows

总体风险等级:

潜在破坏:

潜在分布:

感染次数:

信息暴露:

恶意软件类型:
Ransomware
有破坏性？:
没有
加密？:
没有
In the Wild:
是的

概要

感染途徑: 从互联网下载

该勒索软件通过两种途径侵入系统：一是被其他恶意软件作为文件植入，二是用户访问恶意网站时在不知情的情况下下载的文件。

它会对特定扩展名的文件进行加密。它会释放作为勒索信的文件。

技术详细信息

文件大小: 122,368 bytes

报告日期: EXE

内存驻留: 没有

初始樣本接收日期: 2023年4月14日

Payload: 显示图形/图像, 加密文件, Disables AV、终止进程

Arrival Details

该勒索软件通过两种途径侵入系统：一是被其他恶意软件作为文件植入，二是用户访问恶意网站时在不知情的情况下下载的文件。

Installation

该勒索软件会添加以下进程：

vssadmin delete shadows /all /quiet & wmic shadowcopy delete
bcdedit /set {default} bootstatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no
wbadmin delete catalog -quiet

它会添加以下互斥量，以确保在任何时候只有一个副本在运行：

{Computer Name}

其他系统修改

该勒索软件会将系统桌面壁纸设置为以下图像：

%User Temp%\{random}.jpg

进程终止

若在受感染系统上发现以下服务，该勒索软件会将其终止：

BackupExecAgentBrowser
veeam
VeeamDeploymentSvc
PDVFSService
BackupExecVSSProvider
BackupExecAgentAccelerator
vss
sql
svc$
AcrSch2Svc
AcronisAgent
Veeam.EndPoint.Service
CASAD2DWebSvc
CAARCUpdateSvc
YooIT
memtas
sophos
veeam
DefWatch
ccEvtMgr
SavRoam
RTVscan
QBFCService
Intuit.QuickBooks.FCS
YooBackup
BackupExecAgentBrowser
BackupExecRPCService
MSSQLSERVER
backup
GxVss
GxBlr
GxFWD
GxCVD
GxCIMgr
VeeamNFSSvc
BackupExecDiveciMediaService
SQLBrowser
SQLAgent$VEEAMSQL2008R2
SQLAgent$VEEAMSQL2012
VeeamDeploymentService
BackupExecJobEngine
Veeam.EndPoint.Tray
BackupExecManagementService
SQLAgent$SQL_2008
BackupExecRPCService
zhudongfangyu
sophos
stc_raw_agent
VSNAPVSS
QBCFMonitorService
VeeamTransportSvc

若在受感染系统的内存中发现以下进程正在运行，该勒索软件会将其终止：

sqlwriter
sqbcoreservice
VirtualBoxVM
sqlagent
sqlbrowser
sqlservr
code
steam
zoolz
agntsvc
firefoxconfig
infopath
synctime
VBoxSVC
tbirdconfig
thebat
thebat64
isqlplussvc
mydesktopservice
mysqld
ocssd
onenote
mspub
mydesktopqos
CNTAoSMgr
Ntrtscan
vmplayer
oracle
outlook
powerpnt
wps
xfssvccon
ProcessHacker
dbeng50
dbsnmp
encsvc
excel
tmlisten
PccNTMon
mysqld-nt
mysqld-opt
ocautoupds
ocomm
msaccess
msftesql
thunderbird
visio
winword
wordpad
mbamtray

其他信息

该勒索软件会执行以下操作：

It attempts to change the read-only folders and files to normal so that it can access them.
It avoids encrypting files in folders with the hidden attribute.
It checks the size of the file to encrypt
- If the file has less than 524,288 bytes (512 KB or 0.5 MB)
- If the file has more than 524,288 bytes (512 KB or 0.5 MB)

Ransomware Routine

该勒索软件会对以下扩展名的文件进行加密：

.myd
.ndf
.qry
.sdb
.sdf
.tmd
.tgz
.lzo
.txt
.jar
.dat
.contact
.settings
.doc
.docx
.xls
.xlsx
.ppt
.pptx
.odt
.jpg
.mka
.mhtml
.oqy
.png
.csv
.py
.sql
.indd
.cs
.mp3
.mp4
.dwg
.zip
.rar
.mov
.rtf
.bmp
.mkv
.avi
.apk
.lnk
.dib
.dic
.dif
.mdb
.php
.asp
.aspx
.html
.htm
.xml
.psd
.pdf
.xla
.cub
.dae
.divx
.iso
.7zip
.pdb
.ico
.pas
.db
.wmv
.swf
.cer
.bak
.backup
.accdb
.bay
.p7c
.exif
.vss
.raw
.m4a
.wma
.ace
.arj
.bz2
.cab
.gzip
.lzh
.tar
.jpeg
.xz
.mpeg
.torrent
.mpg
.core
.flv
.sie
.sum
.ibank
.wallet
.css
.js
.rb
.crt
.xlsm
.xlsb
.7z
.cpp
.java
.jpe
.ini
.blob
.wps
.docm
.wav
.3gp
.gif
.log
.gz
.config
.vb
.m1v
.sln
.pst
.obj
.xlam
.djvu
.inc
.cvs
.dbf
.tbi
.wpd
.dot
.dotx
.webm
.m4v
.amv
.m4p
.svg
.ods
.bk
.vdi
.vmdk
.onepkg
.accde
.jsp
.json
.xltx
.vsdx
.uxdc
.udl
.3ds
.3fr
.3g2
.accda
.accdc
.accdw
.adp
.ai
.ai3
.ai4
.ai5
.ai6
.ai7
.ai8
.arw
.ascx
.asm
.asmx
.avs
.bin
.cfm
.dbx
.dcm
.dcr
.pict
.rgbe
.dwt
.f4v
.exr
.kwm
.max
.mda
.mde
.mdf
.mdw
.mht
.mpv
.msg
.myi
.nef
.odc
.geo
.swift
.odm
.odp
.oft
.orf
.pfx
.p12
.pl
.pls
.safe
.tab
.vbs
.xlk
.xlm
.xlt
.xltm
.svgz
.slk
.tar.gz
.dmg
.ps
.psb
.tif
.rss
.key
.vob
.epsp
.dc3
.iff
.opt
.onetoc2
.nrw
.pptm
.potx
.potm
.pot
.xlw
.xps
.xsd
.xsf
.xsl
.kmz
.accdr
.stm
.accdt
.ppam
.pps
.ppsm
.1cd
.p7b
.wdb
.sqlite
.sqlite3
.db-shm
.db-wal
.dacpac
.zipx
.lzma
.z
.tar.xz
.pam
.r3d
.ova
.1c
.dt
.c
.vmx
.xhtml
.ckp
.db3
.dbc
.dbs
.dbt
.dbv
.frm
.mwb
.mrg
.txz
.mrg
.vbox
.wmf
.wim
.xtp2
.xsn
.xslt

它会避免加密文件名中包含以下字符串的文件：

iconcache.db
autorun.inf
thumbs.db
boot.ini
bootfont.bin
ntuser.ini
bootmgr
bootmgr.efi
bootmgfw.efi
desktop.ini
ntuser.dat
RESTORE-FILES-{random}.txt

它会避免加密以下文件夹中的文件：

%System Root%\windows.old
%System Root%\windows.old.old
%System Root%\amd
%System Root%\nvidia
%System Root%\program files
%System Root%\program files (x86)
%System Root%\windows
%System Root%\$recycle.bin
%System Root%\documents and settings
%System Root%\intel
%System Root%\perflogs
%System Root%\programdata
%System Root%\boot
%System Root%\games
%System Root%\msocache

(Note: %System Root% 此处指Windows系统根目录，其通常位于 C:\ 适用于所有Windows操作系统版本。）

它会为加密文件的文件名添加以下扩展名：

.{5 random characters}

它会释放以下文件作为勒索信：

{encrypted path}\RESTORE-FILES-{random}.txt

解决方案

最小扫描引擎: 9.800

First VSAPI Pattern File: 18.392.02

VSAPI 第一样式发布日期: 2023年4月18日

VSAPI OPR样式版本: 18.393.00

VSAPI OPR样式发布日期: 2023年4月19日

Step 1

亚信安全测性机器学习可在恶意软件初现时、尚未在系统执行前便及时检测并拦截。启用此功能后，您的亚信安全产品会使用以下机器学习命名标识检测该恶意软件：

TROJ.Win32.TRX.XXPE50FFF090

Step 2

在进行任何扫描之前，Windows 7、Windows 8、Windows 8.1 和 Windows 10 用户必须先执行以下操作：禁用 系统还原 以便对电脑进行全面扫描。

Step 3

注意：在此恶意软件/间谍软件/灰色软件执行期间，并非所有文件、文件夹和注册表键值和项都会安装到您的计算机上。这可能是由于不完整的安装或其他操作系统条件所致。如果您没有找到相同的文件/文件夹/注册表信息，请继续进行下一步操作。

Step 4

搜索并删除这些文件

[ 更多 ]

某些文件可能被隐藏，请务必勾选 搜索隐藏的文件和文件夹 勾选框 "更多进阶选项" 选项，以在搜索结果中包含所有隐藏的文件和文件夹。

%User Temp%\{random}.jpg
{encrypted path}\RESTORE-FILES-{random}.txt

请按以下步骤操作=

要删除恶意软件/灰色软件文件：

适用于 Windows 7、Server 2008 (R2)、8、8.1、10 及 Server 2012 (R2) 系统：

打开 Windows 资源管理器窗口。
- 对于 Windows 7 和 Server 2008 (R2) 用户：点击Start>Computer.
- 对于Windows 8、8.1、10及Server 2012用户, 右键单击屏幕左下角，然后点击 File Explorer.
在搜索计算机/此电脑输入框中，键入：
%User Temp%\{random}.jpg
{encrypted path}\RESTORE-FILES-{random}.txt
定位到该文件后，选中并按 SHIFT+DELETE 将其删除。
对所有列出的文件重复上述步骤。
*Note:阅读以下微软官方页面若上述步骤在 Windows 7 和 Server 2008 (R2) 系统上无效：

Step 5

以正常模式重启计算机，并使用亚信安全产品扫描检测病毒Ransom.MSIL.TENCRYPT.THDADBC. 如果检测到的文件已被亚信安全产品清理、删除或隔离，则无需执行其他操作。您可以选择直接删除隔离文件。请勾选此项知识库页面了解更多信息。

Step 6