分析者: Raighen Sanchez   
 :

Trojan:Win64/Malgent!MSR (MICROSOFT)

 平台:

Windows

 总体风险等级:
 潜在破坏:
 潜在分布:
 感染次数:
 信息暴露:

  • 恶意软件类型:
    Ransomware

  • 有破坏性?:
    没有

  • 加密?:
     

  • In the Wild:
    是的

  概要

感染途徑: 从互联网下载、由其他恶意软件释放

该勒索软件通过两种途径侵入系统:一是被其他恶意软件作为文件植入,二是用户访问恶意网站时在不知情的情况下下载的文件。

它会连接特定网站以发送和接收信息。 然而截至本文撰写时,上述网站均已无法访问。

它会对特定扩展名的文件进行加密。

  技术详细信息

文件大小: 5,208,296 bytes
报告日期: EXE
初始樣本接收日期: 2025年2月25日
Payload: 连接URL/IP地址, 收集系统信息, 加密文件、终止进程

Arrival Details

该勒索软件通过两种途径侵入系统:一是被其他恶意软件作为文件植入,二是用户访问恶意网站时在不知情的情况下下载的文件。

进程终止

此勒索软件会终止受感染系统内存中运行的以下进程:

  • taskmgr.exe
  • processhacker.exe
  • regedit.exe
  • code.exe
  • excel.exe
  • powerpnt.exe
  • winword.exe
  • msaccess.exe
  • mspub.exe
  • msedge.exe
  • virtualboxvm.exe
  • virtualbox.exe
  • chrome.exe
  • cs2.exe
  • steam.exe
  • postgres.exe
  • mysqlworkbench.exe
  • outlook.exe
  • mysqld.exe
  • windowsterminal.exe
  • powershell.exe
  • cmd.exe
  • sublime_text.exe
  • microsoft.photos.exe
  • photosapp.exe

下载例程

This Ransomware connects to the following URL(s) to download its configuration file:

  • https://{BLOCKED}hub.com/repos/billdev1/abbt/contents/content/config.json

Information Theft

此勒索软件会收集以下数据:

  • IP Address
  • OS Version
  • List of Installed Anti-Virus
  • Username
  • Hostname
  • MAC Address
  • Geolocation Data

其他信息

此勒索软件会连接以下网站以收发信息:

  • postgres://postgres.{BLOCKED}yzuktawicaurhu:@aws-0-us-west-1.pooler.supabase.com:5432/postgres

然而截至本文撰写时,上述网站均已无法访问。

Ransomware Routine

该勒索软件会对以下扩展名的文件进行加密:

  • ~$
  • .src
  • .ico
  • .cur
  • .theme
  • .themepack
  • .bat
  • .com
  • .cmd
  • .cpl
  • .prf
  • .icls
  • .idx
  • .mod
  • .pyd
  • .vhdx
  • ._pth
  • .hta
  • .mp3
  • .CHK
  • .pickle
  • .pif
  • .url
  • .ogg
  • .tmp
  • .dat
  • .exe
  • .lnk
  • .win
  • .vscdb
  • .bin
  • .cab
  • .inf
  • .lib
  • .tcl
  • .cat
  • .so
  • .msi
  • .vpk
  • .vc
  • .cur
  • .ini
  • .bik
  • .sfx
  • .xnb
  • .ttf
  • .otf
  • .woff
  • .woff2
  • .vfont
  • .resource
  • .N2PK
  • .log
  • .pkg
  • .desktop
  • .dll
  • .pkr
  • .arc
  • .sig
  • .bk2
  • .arz
  • .swf
  • .qt
  • .wma
  • .mp2
  • .vdf
  • .pdb
  • .nfo
  • .whl
  • .mui
  • .srm
  • .smc
  • .dic
  • .lock
  • .pyc
  • .TAG
  • .locale
  • .store
  • .sdi
  • .library-ms
  • .acf
  • .po
  • .mo

它会避免加密文件名中包含以下字符串的文件:

  • ntuser.dat
  • ntuser.ini
  • iconcache.db
  • Thumbs.db
  • .DS_Store

它会避免加密以下文件夹中的文件:

  • Searches
  • AppData
  • $RECYCLE.BIN
  • System Volume Information
  • windows.old
  • steamapps
  • perflogs
  • ansel
  • tmp
  • node_modules
  • cache
  • vendor
  • target
  • Mozilla
  • venv
  • env
  • Chrome
  • google-chrome
  • pypoetry
  • vimfiles
  • viminfo
  • site-packages
  • scoop
  • go

  解决方案

最小扫描引擎: 9.800
First VSAPI Pattern File: 19.924.04
VSAPI 第一样式发布日期: 2025年2月25日
VSAPI OPR样式版本: 19.925.00
VSAPI OPR样式发布日期: 2025年2月26日

Step 1

亚信安全测性机器学习可在恶意软件初现时、尚未在系统执行前便及时检测并拦截。启用此功能后,您的亚信安全产品会使用以下机器学习命名标识检测该恶意软件:

    •  TROJ.Win32.TRX.XXPE50FFF093

Step 2

在进行任何扫描之前,Windows 7、Windows 8、Windows 8.1 和 Windows 10 用户必须先执行以下操作: 禁用 系统还原 以便对电脑进行全面扫描。

Step 3

注意:在此恶意软件/间谍软件/灰色软件执行期间,并非所有文件、文件夹和注册表键值和项都会安装到您的计算机上。这可能是由于不完整的安装或其他操作系统条件所致。如果您没有找到相同的文件/文件夹/注册表信息,请继续进行下一步操作。

Step 4

使用您的亚信安全产品扫描电脑,删除被检测为以下名称的文件 Ransom.Win64.ALBABAT.THBBEBE. 若亚信安全产品已将检测到的文件清除、删除或隔离,则无需再执行任何额外步骤;您也可选择直接删除隔离区中的文件。更多信息请访问以下亚信安全支持页面: