Ransom.Win32.NOESCAPE.THFOEBC

感染途徑: 从互联网上下载，或由其他恶意软件释放。

它以其他恶意软件释放的文件或用户访问恶意网站时不知不觉下载的文件的形式到达系统。

文件大小: 381,440 bytes

报告日期: EXE

内存驻留: 是的

初始樣本接收日期: 2023年6月5日

Payload: 显示消息/消息框, 显示图形/图片, 修改系统注册表

N

新病毒详细信息

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

安装

它在受感染的系统中植入下列自身副本：

%Application Data%\{Malware File Name}.exe

(注意: %Application Data% 是当前用户的 Application Data 文件夹，通常位于 C:\Windows\Profiles\{user name}\Application Data (Windows 98 和 ME)、C:\WINNT\Profiles\{user name}\Application Data (Windows NT)、C:\Documents and Settings\{user name}\Local Settings\Application Data (Windows 2000(32-bit)、XP 和 Server 2003(32-bit)) 和 C:\Users\{user name}\AppData\Roaming (Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit) 和 10(64-bit))。)

它添加下列进程：

wmic SHADOWCOPY DELETE /nointeractive
wbadmin DELETE SYSTEMSTATEBACKUP -deleteOldest
wbadmin DELETE SYSTEMSTATEBACKUP -keepVersions:0
wbadmin DELETE BACKUP -deleteOldest
wbadmin DELETE BACKUP -keepVersions:0
vssadmin Delete Shadows /All /Quiet
bcdedit /set {default} recoveryenabled No
bcdedit /set {default} bootstatuspolicy ignoreallfailures
cmd /c wmic SHADOWCOPY DELETE /nointeractive
cmd /c wbadmin DELETE SYSTEMSTATEBACKUP -deleteOldest
cmd /c wbadmin DELETE SYSTEMSTATEBACKUP -keepVersions:0
cmd /c wbadmin DELETE BACKUP -deleteOldest
cmd /c wbadmin DELETE BACKUP -keepVersions:0
cmd /c vssadmin Delete Shadows /All /Quiet
cmd /c bcdedit /set {default} recoveryenabled No
cmd /c bcdedit /set {default} bootstatuspolicy ignoreallfailures
cmd /c bcdedit /set safeboot network

它添加下列互斥条目，确保一次只会运行一个副本：

Global\{GUID}

自启动技术

它添加下列注册表项，在系统每次启动时自行执行：

HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
Shell = explorer.exe,%Application Data%\[Malware File Name}.exe

其他系统修改

它添加下列注册表项：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Policies\
System
EnableLUA = 0

(Note: The default value data of the said registry entry is 1.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Policies\
System
ConsentPromptBehaviorAdmin = 0

(Note: The default value data of the said registry entry is 5.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Policies\
System
EnableLinkedConnections = 1

它将系统的桌面壁纸设置为下列图像：

%Application Data%\wallpaper.jpg

进程终止

它终止在受感染的系统上运行的下列服务：

Culserver
DefWatch
GxBlr
GxCIMgr
GxCVD
GxFWD
GxVss
QBCFMonitorService
QBIDPService
RTVscan
SavRoam
VMAuthdService
VMUSBArbService
VMnetDHCP
VMwareHostd
backup
ccEvtMgr
ccSetMgr
dbeng8
dbsrv12
memtas
mepocs
msexchange
msmdsrv
sophos
sql
sqladhlp
sqlagent
sqlbrowser
sqlservr
sqlwriter
svc$
tomcat6
veeam
vmware-converter
vmware-usbarbitator64
vss

它终止在受感染的系统内存中运行的下列进程：

360doctor
360se
Culture
Defwatch
GDscan
MsDtSrvr
QBCFMonitorService
QBDBMgr
QBIDPService
QBW32
RAgui
RTVscan
agntsvc
agntsvcencsvc
agntsvcisqlplussvc
anvir
anvir64
apache
axlbridge
backup
ccleaner
ccleaner64
dbeng50
dbsnmp
encsvc
excel
far
fdhost
fdlauncher
httpd
infopath
isqlplussvc
java
kingdee
msaccess
msftesql
mspub
mydesktopqos
mydesktopservice
mysqld-nt
mysqld-opt
mysqld
ncsvc
ocautoupds
ocomm
ocssd
onedrive
onenote
oracle
outlook
powerpnt
procexp
qbupdate
sqbcoreservice
sql
sqlagent
sqlbrowser
sqlmangr
sqlserver
sqlservr
sqlwriter
steam
supervise
synctime
taskkill
tasklist
tbirdconfig
thebat
thunderbird
tomcat
tomcat6
u8
ufida
visio
wdswfsafe
winword
wordpad
wuauclt
wxServer
wxServerView
xfssvccon

信息窃取

它收集下列数据:

Computer Name
Host Name
Machine GUID
User Language
OEM Information
Disk Drive Information

其他详细信息

该程序执行以下操作：

It empties Recycle Bin of all drives.
It dismounts disk images found in the system by running these processes:
- powershell Dismount-DiskImage -ImagePath {Full Path of Disk Image}
- cmd /c powershell Dismount-DiskImage -ImagePath {Full Path of Disk Image}
It is capable of rebooting the system into safe mode with networking.

最小扫描引擎: 9.800

First VSAPI Pattern File: 18.490.02

VSAPI 第一样式发布日期: 2023年6月5日

VSAPI OPR样式版本: 18.491.00

VSAPI OPR样式发布日期: 2023年6月6日

N

Step 2

对于Windows ME和XP用户，在扫描前，请确认已禁用系统还原功能，才可全面扫描计算机。

Step 3

请注意，在执行此恶意软件/间谍软件/灰色软件期间，并非所有文件、文件夹、注册表项和条目都安装在您的计算机上。这可能是由于安装不完整或其他操作系统条件造成的。如果找不到相同的文件/文件夹/注册表信息，请继续下一步。

Step 4

重启进入安全模式

[ 更多 ]

Step 5

恢复该修改的注册表值

[ 更多 ]

注意事项：错误编辑Windows注册表会导致不可挽回的系统故障。只有在您掌握后或在系统管理员的帮助下才能完成这步。或者，请先阅读Microsoft文章，然后再修改计算机注册表。

In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
- EnableLUA = 0
In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
- ConsentPromptBehaviorAdmin = 0

Step 6

删除该注册表值

[ 更多 ]

注意事项：错误编辑Windows注册表会导致不可挽回的系统故障。只有在您掌握后或在系统管理员的帮助下才能完成这步。或者，请先阅读Microsoft文章，然后再修改计算机注册表。

In HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
- Shell = explorer.exe,%Application Data%\[Malware File Name}.exe
In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
- EnableLinkedConnections = 1

DATA_GENERIC_KEY

在右侧窗格中找到和删除条目：
DATA_GENERIC_ENTRY

关闭注册表编辑器。

Step 7

搜索和删除这些文件

[ 更多 ]

有些组件文件可能是隐藏的。请确认在"高级选项"中已选中搜索隐藏文件和文件夹复选框，使查找结果包括所有隐藏文件和文件夹。

%Application Data%\{Malware File Name}.exe
%Application Data%\wallpaper.jpg
%Desktop%\HOW_TO_RECOVER_FILES.txt
{File Path of Encrypted Files}\HOW_TO_RECOVER_FILES.txt

DATA_GENERIC_FILENAME_1

在查找范围下拉列表中，选择

我的电脑然后回车确认。

一旦找到，请选择文件，然后按下SHIFT+DELETE彻底删除文件。

对剩余的文件重复第2到4步： %Application Data%\{Malware File Name}.exe
%Application Data%\wallpaper.jpg
%Desktop%\HOW_TO_RECOVER_FILES.txt
{File Path of Encrypted Files}\HOW_TO_RECOVER_FILES.txt

Step 8

重启进入正常模式，使用亚信安全产品扫描计算机，检测Ransom.Win32.NOESCAPE.THFOEBC文件如果检测到的文件已被亚信安全产品清除、删除或隔离，则无需采取进一步措施。可以选择直接删除隔离的文件。请参阅知识库页面了解详细信息。

Step 9

重置桌面壁纸

[ 更多 ]

Step 10

从备份中还原被加密的文件。

Step 11

使用亚信安全产品扫描计算机，并删除检测到的Ransom.Win32.NOESCAPE.THFOEBC文件如果检测到的文件已被亚信安全产品清除、删除或隔离，则无需采取进一步措施。可以选择直接删除隔离的文件。请参阅知识库页面了解详细信息。

概要

技术详细信息

解决方案