Ransom.Win32.SPOOSH.THGAGBC
Generic.Ransom.DCRTR.7E80656D (BITDEFENDER)
Windows
恶意软件类型:
Ransomware
有破坏性?:
没有
加密?:
没有
In the Wild:
是的
概要
N它以其他恶意软件释放的文件或用户访问恶意网站时不知不觉下载的文件的形式到达系统。
它连接到某个网站,发送和接收信息。
技术详细信息
新病毒详细信息
It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.
安装
它添加下列进程:
- %System%\cmd.exe /C "vssadmin delete shadows /all /quiet"
- %System%\cmd.exe /C "rd /s /q %systemdrive%\$Recycle.bin"
- %System%\WindowsPowershell\v1.0\powershell.exe -Command "New-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System' -Name EnableLinkedConnections -Value 1 -PropertyType 'DWord'"
- %System%\WindowsPowershell\v1.0\powershell.exe -Command "get-service LanmanWorkstation |Restart-Service –Force"
- attrib.exe -R {Directory to Encrypt}\{File Name to Encrypt}.{File Extension to Encrypt}
- mshta.exe %System Root%\Boot\cs-CZ\information.hta
(注意: %System% 是 Windows 的 system 文件夹,通常位于 C:\Windows\System (Windows 98 和 ME)、C:\WINNT\System32 (Windows NT 和 2000) 和 C:\WINDOWS\system32 (Windows 2000(32-bit)、XP、Server 2003(32-bit)、Vista、7、8、8.1、2008(64-bit),2012(64bit) 和 10(64-bit))。
(注意: %System Root% 是根文件夹,通常位于 C:\。它也是操作系统所在的位置。)
其他系统修改
它添加下列注册表项:
HKEY_CURRENT_USER\Printers\SettingsLow
DI = {8 Random Alphanumeric Characters}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Policies\
System
EnableLinkedConnections = 1
它将系统的桌面壁纸设置为下列图像:
- %AppDataLocal%\wallpaper.jpg
进程终止
它终止在受感染的系统内存中运行的下列进程:
- Agntsvc.exe
- Dbeng50.exe
- Dbsnmp.exe
- Encsvc.exe
- Excel.exe
- Firefox.exe
- Infopath.exe
- Isqlplussvc.exe
- Msaccess.exe
- Mspub.exe
- Mydesktopqos.exe
- Mydesktopservice.exe
- Notepad.exe
- Ocautoupds.exe
- Ocomm.exe
- Ocssd.exe
- Onenote.exe
- Oracle.exe
- Outlook.exe
- Powerpnt.exe
- Sqbcoreservice.exe
- Sql.exe
- Steam.exe
- Synctime.exe
- Tbirdconfig.exe
- Thebat.exe
- Thunderbird.exe
- Ut.exe
- Utweb.exe
- Visio.exe
- Winword.exe
- Wordpad.exe
- Xfssvccon.exe
植入例程
它植入下列文件:
- %AppDataLocal%\wallpaper.jpg
信息窃取
它收集下列数据:
- Processor Name
- Memory
- Internal IP Address
- Manufacturer
- OS Version
- Computer Name
- Product Name
- External IP Address
- Device ID
其他详细信息
它添加下列注册表键值:
HKEY_CURRENT_USER\Printers\SettingsLow
它连接到下列网站,发送和接收信息:
- tcp://{BLOCKED}.{BLOCKED}.154.137:21119
该程序执行以下操作:
- It terminates itself if the computer language is Russian
- It downloads the desktop wallpaper to be set from the following url:
- https://i.{BLOCKED}g.cc/JzpfvBFf/wallapaper.jpg
- It connects to the following url to identify the machine's external IP address:
- https://{BLOCKED}rnalip.com
解决方案
Step 1
对于Windows ME和XP用户,在扫描前,请确认已禁用系统还原功能,才可全面扫描计算机。
Step 2
请注意,在执行此恶意软件/间谍软件/灰色软件期间,并非所有文件、文件夹、注册表项和条目都安装在您的计算机上。这可能是由于安装不完整或其他操作系统条件造成的。如果找不到相同的文件/文件夹/注册表信息,请继续下一步。
Step 3
删除该注册表值
注意事项:错误编辑Windows注册表会导致不可挽回的系统故障。只有在您掌握后或在系统管理员的帮助下才能完成这步。或者,请先阅读Microsoft文章,然后再修改计算机注册表。
- In HKEY_CURRENT_USER\Printers\SettingsLow
- DI = {8 Random Alphanumeric Characters}
- DI = {8 Random Alphanumeric Characters}
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
- EnableLinkedConnections = 1
- EnableLinkedConnections = 1
Step 4
删除该注册表键值
注意事项:错误编辑Windows注册表会导致不可挽回的系统故障。只有在您掌握后或在系统管理员的帮助下才能完成这步。或者,请先阅读Microsoft文章,然后再修改计算机注册表。
- In HKEY_CURRENT_USER\Printers
- SettingsLow
- SettingsLow
Step 5
搜索和删除该文件
- {Encrypted Directory}\information.hta
- %AppDataLocal%\wallpaper.jpg
Step 6
使用趋势科技产品扫描计算机,并删除检测到的Ransom.Win32.SPOOSH.THGAGBC文件 如果检测到的文件已被趋势科技产品清除、删除或隔离,则无需采取进一步措施。可以选择直接删除隔离的文件。请参阅知识库页面了解详细信息。
Step 7
从备份中还原被加密的文件。