Ransom.Win32.MADVEN.THEBABE
2025年8月1日
:
Gen:Variant.Fragtor.861949 (BITDEFENDER)
平台:
Windows
总体风险等级:
潜在破坏:
潜在分布:
感染次数:
信息暴露:
恶意软件类型:
Ransomware
有破坏性?:
没有
加密?:
In the Wild:
是的
概要
感染途徑: 从互联网下载、由其他恶意软件释放
该勒索软件通过两种途径侵入系统:一是被其他恶意软件作为文件植入,二是用户访问恶意网站时在不知情的情况下下载的文件。
它会释放勒索说明文件作为赎金票据,并避免加密具有以下扩展名的文件:
技术详细信息
文件大小: 182,272 bytes
报告日期: EXE
内存驻留: 没有
初始樣本接收日期: 2025年5月15日
Payload: 加密文件
Arrival Details
该勒索软件通过两种途径侵入系统:一是被其他恶意软件作为文件植入,二是用户访问恶意网站时在不知情的情况下下载的文件。
其他信息
该勒索软件接受以下参数:
- -path → local directory encryption within a specific path
- -all → general encryption protocol
- -sub → encryption through local network
- -ldap → network encryption with LDAP access
- -u → ldap username
- -p → ldap password
Ransomware Routine
该勒索软件会为加密文件的文件名添加以下扩展名:
- .devman
它会释放以下文件作为勒索信:
- {Encrypted Directory}\README.global.txt
它会避免加密具有以下文件扩展名的文件:
- dll
- bin
- msi
- sys
- global
- lnk
- ini
- Progam Files
- Program Files (x86)
- Windows
- ProgramData
- AppData
解决方案
最小扫描引擎: 9.800
First VSAPI Pattern File: 20.216.06
VSAPI 第一样式发布日期: 2025年5月21日
VSAPI OPR样式版本: 20.217.00
VSAPI OPR样式发布日期: 2025年5月22日
Step 1
在进行任何扫描之前,Windows 7、Windows 8、Windows 8.1 和 Windows 10 用户必须先执行以下操作: 禁用 系统还原 以便对电脑进行全面扫描。
Step 2
使用您的亚信安全产品扫描电脑,删除被检测为以下名称的文件 Ransom.Win32.MADVEN.THEBABE. 若亚信安全产品已将检测到的文件清除、删除或隔离,则无需再执行任何额外步骤;您也可选择直接删除隔离区中的文件。更多信息请访问以下亚信安全支持页面:
Step 3
从备份中还原加密文件。