Ransom.Win32.SPOOSH.THGAGBC

感染途徑: 从互联网上下载，或由其他恶意软件释放。

N它以其他恶意软件释放的文件或用户访问恶意网站时不知不觉下载的文件的形式到达系统。

它连接到某个网站，发送和接收信息。

文件大小: 5,153,366 bytes

报告日期: EXE

内存驻留: 没有

初始樣本接收日期: 2023年7月18日

Payload: 连接到 URL/Ip, 收集系统信息, 修改系统注册表, 终止进程, 植入文件

N

新病毒详细信息

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

安装

它添加下列进程：

%System%\cmd.exe /C "vssadmin delete shadows /all /quiet"
%System%\cmd.exe /C "rd /s /q %systemdrive%\$Recycle.bin"
%System%\WindowsPowershell\v1.0\powershell.exe -Command "New-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System' -Name EnableLinkedConnections -Value 1 -PropertyType 'DWord'"
%System%\WindowsPowershell\v1.0\powershell.exe -Command "get-service LanmanWorkstation |Restart-Service –Force"
attrib.exe -R {Directory to Encrypt}\{File Name to Encrypt}.{File Extension to Encrypt}
mshta.exe %System Root%\Boot\cs-CZ\information.hta

(注意: %System% 是 Windows 的 system 文件夹，通常位于 C:\Windows\System (Windows 98 和 ME)、C:\WINNT\System32 (Windows NT 和 2000) 和 C:\WINDOWS\system32 (Windows 2000(32-bit)、XP、Server 2003(32-bit)、Vista、7、8、8.1、2008(64-bit),2012(64bit) 和 10(64-bit))。

(注意： %System Root% 是根文件夹，通常位于 C:\。它也是操作系统所在的位置。)

其他系统修改

它添加下列注册表项：

HKEY_CURRENT_USER\Printers\SettingsLow
DI = {8 Random Alphanumeric Characters}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Policies\
System
EnableLinkedConnections = 1

它将系统的桌面壁纸设置为下列图像：

%AppDataLocal%\wallpaper.jpg

进程终止

它终止在受感染的系统内存中运行的下列进程：

Agntsvc.exe
Dbeng50.exe
Dbsnmp.exe
Encsvc.exe
Excel.exe
Firefox.exe
Infopath.exe
Isqlplussvc.exe
Msaccess.exe
Mspub.exe
Mydesktopqos.exe
Mydesktopservice.exe
Notepad.exe
Ocautoupds.exe
Ocomm.exe
Ocssd.exe
Onenote.exe
Oracle.exe
Outlook.exe
Powerpnt.exe
Sqbcoreservice.exe
Sql.exe
Steam.exe
Synctime.exe
Tbirdconfig.exe
Thebat.exe
Thunderbird.exe
Ut.exe
Utweb.exe
Visio.exe
Winword.exe
Wordpad.exe
Xfssvccon.exe

植入例程

它植入下列文件：

%AppDataLocal%\wallpaper.jpg

信息窃取

它收集下列数据:

Processor Name
Memory
Internal IP Address
Manufacturer
OS Version
Computer Name
Product Name
External IP Address
Device ID

其他详细信息

它添加下列注册表键值:

HKEY_CURRENT_USER\Printers\SettingsLow

它连接到下列网站，发送和接收信息：

tcp://{BLOCKED}.{BLOCKED}.154.137:21119

该程序执行以下操作：

It terminates itself if the computer language is Russian
It downloads the desktop wallpaper to be set from the following url:
- https://i.{BLOCKED}g.cc/JzpfvBFf/wallapaper.jpg
It connects to the following url to identify the machine's external IP address:
- https://{BLOCKED}rnalip.com

最小扫描引擎: 9.800

First VSAPI Pattern File: 18.582.02

VSAPI 第一样式发布日期: 2023年7月20日

VSAPI OPR样式版本: 18.583.00

VSAPI OPR样式发布日期: 2023年7月21日

N

Step 1

对于Windows ME和XP用户，在扫描前，请确认已禁用系统还原功能，才可全面扫描计算机。

Step 2

请注意，在执行此恶意软件/间谍软件/灰色软件期间，并非所有文件、文件夹、注册表项和条目都安装在您的计算机上。这可能是由于安装不完整或其他操作系统条件造成的。如果找不到相同的文件/文件夹/注册表信息，请继续下一步。

Step 3

删除该注册表值

[ 更多 ]

注意事项：错误编辑Windows注册表会导致不可挽回的系统故障。只有在您掌握后或在系统管理员的帮助下才能完成这步。或者，请先阅读Microsoft文章，然后再修改计算机注册表。

In HKEY_CURRENT_USER\Printers\SettingsLow
- DI = {8 Random Alphanumeric Characters}
In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
- EnableLinkedConnections = 1

Step 4

删除该注册表键值

[ 更多 ]

注意事项：错误编辑Windows注册表会导致不可挽回的系统故障。只有在您掌握后或在系统管理员的帮助下才能完成这步。或者，请先阅读Microsoft文章，然后再修改计算机注册表。

In HKEY_CURRENT_USER\Printers
- SettingsLow

Step 5

搜索和删除该文件

[ 更多 ]

有些组件文件可能是隐藏的。请确认在高级选项中已选中搜索隐藏文件和文件夹复选框，使查找结果包括所有隐藏文件和文件夹。

{Encrypted Directory}\information.hta
%AppDataLocal%\wallpaper.jpg

Step 6

使用趋势科技产品扫描计算机，并删除检测到的Ransom.Win32.SPOOSH.THGAGBC文件如果检测到的文件已被趋势科技产品清除、删除或隔离，则无需采取进一步措施。可以选择直接删除隔离的文件。请参阅知识库页面了解详细信息。

Step 7

从备份中还原被加密的文件。

概要

技术详细信息

解决方案