Ransom.Win32.GLBYTE.THEBCBD

感染途徑: 从互联网上下载, 下载了其他恶意软件

它以文件的形式出现在系统中，可能是其他恶意软件投放的，或者是用户在访问恶意网站时无意中下载的。

文件大小: 2,510,673 bytes

报告日期: EXE

内存驻留: 没有

初始樣本接收日期: 2024年5月20日

Payload: 植入文件, 显示图形/图片, 显示窗口

新病毒详细信息

它以文件的形式出现在系统中，可能是其他恶意软件投放的，或者是用户在访问恶意网站时无意中下载的。

安装

它添加下列进程：

netsh firewall set opmode mode=disable profile=all
vssadmin Delete Shadows /all /quiet
bcdedit /set {default} bootstatuspolicy ignoreallfailures
bcdedit /set {default} recoveryenabled no
wmic shadowcopy delete
wbadmin delete catalog –quiet
rundll32.exe user32.dll,UpdatePerUserSystemParameters
%Desktop%\GlitchByte_Decryptor.exe

(注意: %Desktop% 是当前用户的桌面，通常位于 C:\Windows\Profiles\{user name}\Desktop (Windows 98 和 ME)、C:\WINNT\Profiles\{user name}\Desktop (Windows NT)、C:\Documents and Settings\{User Name}\桌面 (Windows 2000(32-bit)、XP 和 Server 2003(32-bit)) 和 C:\Users\{user name}\Desktop (Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit) 和 10(64-bit))。)

其他系统修改

它添加下列注册表项：

HKEY_CURRENT_USER\{76 Random Characters}
{76 Random Characters} = {Random Characters}

它通过修改下列注册表项，更改桌面壁纸：

HKEY_CURRENT_USER\Control Panel\Desktop
Wallpaper = %Application Data%\GlitchByte.bmp

它将系统的桌面壁纸设置为下列图像：

%Application Data%\GlitchByte.bmp

植入例程

它植入下列文件：

%Application Data%\GlitchByte.bmp

(注意: %Application Data% 是当前用户的 Application Data 文件夹，通常位于 C:\Windows\Profiles\{user name}\Application Data (Windows 98 和 ME)、C:\WINNT\Profiles\{user name}\Application Data (Windows NT)、C:\Documents and Settings\{user name}\Local Settings\Application Data (Windows 2000(32-bit)、XP 和 Server 2003(32-bit)) 和 C:\Users\{user name}\AppData\Roaming (Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit) 和 10(64-bit))。)

其他详细信息

它使用下列扩展名加密文件：

.accdb
.bas
.bmp
.dib
.doc
.docx
.jpeg
.jpg
.log
.mp
.mp3
.mp4
.png
.ppt
.pptx
.pub
.rtf
.txt
.vbe
.vbs
.wav
.xsl
.xslx

该程序执行以下操作：

It modifies the following files:
- %System%\drivers\etc\hosts
It displays the following on its console:

最小扫描引擎: 9.800

First VSAPI Pattern File: 19.358.01

VSAPI 第一样式发布日期: 2024年5月22日

VSAPI OPR样式版本: 19.359.00

VSAPI OPR样式发布日期: 2024年5月23日

Step 2

对于Windows ME和XP用户，在扫描前，请确认已禁用系统还原功能，才可全面扫描计算机。

Step 3

注意：在此恶意软件/间谍软件/灰色软件执行期间，并非所有文件、文件夹和注册表键值和项都会安装到您的计算机上。这可能是由于不完整的安装或其他操作系统条件所致。如果您没有找到相同的文件/文件夹/注册表信息，请继续进行下一步操作。

Step 4

删除该注册表值

[ 更多 ]

注意事项：错误编辑Windows注册表会导致不可挽回的系统故障。只有在您掌握后或在系统管理员的帮助下才能完成这步。或者，请先阅读Microsoft文章，然后再修改计算机注册表。

In HKEY_CURRENT_USER\{76 Random Characters}
- {76 Random Characters} = {Random}

Step 5

删除该注册表键值

[ 更多 ]

注意事项：错误编辑Windows注册表会导致不可挽回的系统故障。只有在您掌握后或在系统管理员的帮助下才能完成这步。或者，请先阅读Microsoft文章，然后再修改计算机注册表。

In HKEY_CURRENT_USER
- {76 Random Characters}

Step 6

搜索和删除这些文件

[ 更多 ]

有些组件文件可能是隐藏的。请确认在"高级选项"中已选中搜索隐藏文件和文件夹复选框，使查找结果包括所有隐藏文件和文件夹。

%Application Data%\GlitchByte.bmp
%Desktop%\GlitchByte_Decryptor.exe

DATA_GENERIC_FILENAME_1

在查找范围下拉列表中，选择

我的电脑然后回车确认。

一旦找到，请选择文件，然后按下SHIFT+DELETE彻底删除文件。

对剩余的文件重复第2到4步： %Application Data%\GlitchByte.bmp
%Desktop%\GlitchByte_Decryptor.exe

Step 7

Restore this file from backup only Microsoft-related files will be restored. If this malware/grayware also deleted files related to programs that are not from Microsoft, please reinstall those programs on you computer again.

%System%\drivers\etc\hosts

Step 8

使用亚信安全产品扫描计算机，并删除检测到的Ransom.Win32.GLBYTE.THEBCBD文件如果检测到的文件已被亚信安全产品清除、删除或隔离，则无需采取进一步措施。可以选择直接删除隔离的文件。请参阅知识库页面了解详细信息。

Step 9

从备份中恢复加密文件。

Step 10

重置桌面壁纸

[ 更多 ]

概要

技术详细信息

解决方案