Ransom.PS1.NEDIB.THCBIBD

它以文件的形式出现在系统中，可能是其他恶意软件投放的，或者是用户在访问恶意网站时无意中下载的。

新病毒详细信息

它以文件的形式出现在系统中，可能是其他恶意软件投放的，或者是用户在访问恶意网站时无意中下载的。

安装

它添加下列进程：

• "%System%\NOTEPAD.EXE" %Desktop%\README.txt

(注意: %Desktop% 是当前用户的桌面，通常位于 C:\Windows\Profiles\{user name}\Desktop (Windows 98 和 ME)、C:\WINNT\Profiles\{user name}\Desktop (Windows NT)、C:\Documents and Settings\{User Name}\桌面 (Windows 2000(32-bit)、XP 和 Server 2003(32-bit)) 和 C:\Users\{user name}\Desktop (Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit) 和 10(64-bit))。)

其他系统修改

它通过修改下列注册表项，更改桌面壁纸：

HKEY_CURRENT_USER\control panel\desktop
wallpaper = %Temp%\photo.jpg

信息窃取

它收集下列数据:

• satellite:IP
  • IP address
• bust_in_silhouette: User Information
  • Language
  • Current date and time
  • User Name
  • Computer Name
• shield: Antivirus
  • Installed antivirus software
• computer: Hardware
  • Display resolution
  • OS version
  • OS build
  • Manufacturer
  • Model
  • CPU name
  • GPU name
  • RAM
  • UUID
  • MAC address
  • Uptime
• floppy_disk: Disk
  • All disk information

其他详细信息

它使用下列扩展名加密文件：

• .7z
• .docx
• .gif
• .gz
• .ini
• .jpg
• .pdf
• .psd
• .png
• .rtf
• .txt
• .zip
• .accd
• .avi
• .csv
• .doc
• .jpeg
• .midi
• .mov
• .mp3
• .mp4
• .mpeg
• .mpeg2
• .mpeg3
• .mpg
• .ogg
• .ppt
• .xls

该程序执行以下操作：

• It deletes all shadow copies on the system.
• It attempts to download from this URL to use as wallpaper
  • https://{BLOCKED}fshore.cat/HrD5nI4Z.cat → %Temp%\photo.jpg