Ransom.PHP.DRAKONLOCK.THDOCBE
2025年4月17日
:
Trojan-Ransom.FileCrypter (IKARUS)
平台:
Windows
总体风险等级:
潜在破坏:
潜在分布:
感染次数:
信息暴露:
恶意软件类型:
Ransomware
有破坏性?:
没有
加密?:
In the Wild:
是的
概要
感染途徑: 从互联网下载、由其他恶意软件释放
该勒索软件通过两种途径侵入系统:一是被其他恶意软件作为文件植入,二是用户访问恶意网站时在不知情的情况下下载的文件。
它会释放作为勒索信的文件。
技术详细信息
文件大小: 9,256 bytes
报告日期: PHP
内存驻留: 没有
初始樣本接收日期: 2025年4月3日
Payload: 加密文件, 连接URL/IP地址
Arrival Details
该勒索软件通过两种途径侵入系统:一是被其他恶意软件作为文件植入,二是用户访问恶意网站时在不知情的情况下下载的文件。
其他信息
This Ransomware connects to the following possibly malicious URL:
- https://{BLOCKED}in.com/xfsaxi82
Ransomware Routine
此勒索软件会避免加密文件路径中包含以下字符串的文件:
- .htaccess
- .FS
- Dragon_Readme.html
- Readme.html
- rans
它会为加密文件的文件名添加以下扩展名:
- .FS
它会释放以下文件作为勒索信:
- {Encrypted Directory}\Dragon_Readme.html → ransom note content is retrieved from a Pastebin URL
解决方案
最小扫描引擎: 9.800
First VSAPI Pattern File: 20.120.02
VSAPI 第一样式发布日期: 2025年4月3日
VSAPI OPR样式版本: 20.121.00
VSAPI OPR样式发布日期: 2025年4月4日
Step 1
在进行任何扫描之前,Windows 7、Windows 8、Windows 8.1 和 Windows 10 用户必须先执行以下操作: 禁用 系统还原 以便对电脑进行全面扫描。
Step 2
使用您的亚信安全产品扫描电脑,删除被检测为以下名称的文件 Ransom.PHP.DRAKONLOCK.THDOCBE. 若亚信安全产品已将检测到的文件清除、删除或隔离,则无需再执行任何额外步骤;您也可选择直接删除隔离区中的文件。更多信息请访问以下亚信安全支持页面:
Step 3
从备份中还原加密文件。