分析者: Jemuel Igadna   
 :

Win64:Evo-gen [Trj](AVAST)

 平台:

Windows

 总体风险等级:
 潜在破坏:
 潜在分布:
 感染次数:
 信息暴露:

  • 恶意软件类型:
    Ransomware

  • 有破坏性?:
    没有

  • 加密?:
    没有

  • In the Wild:
    是的

  概要

感染途徑: ???????, ?????????

它以文件的形式出现在系统中,可能是其他恶意软件投放的,或者是用户在访问恶意网站时无意中下载的。

  技术详细信息

文件大小: 149,504 bytes
报告日期: EXE
内存驻留: 没有
Payload: ???????, ????/???
N

???????

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

??

???????:

  • {Encrypted Directory}\!!readme!!!.txt
  • {Malware File Path}\temp.cmd ? Used to delete itself

???????:

  • "%System%\vssadmin.exe" delete shadows /all /quiet
  • "%System%\net.exe" stop MSSQLSERVER /f /m
  • cmd /c temp.cmd {Malware File Path}/{Malware File Name}.{Malware Extension}

(??: %System% ? Windows ? system ???,???? C:\Windows\System (Windows 98 ? ME)?C:\WINNT\System32 (Windows NT ? 2000) ? C:\WINDOWS\system32 (Windows 2000(32-bit)?XP?Server 2003(32-bit)?Vista?7?8?8.1?2008(64-bit),2012(64bit) ? 10(64-bit))?)

??????

?????????:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\Windows NT\Terminal Services
MaxDisconnectionTime = 1209600000

  解决方案

最小扫描引擎: 9.800
First VSAPI Pattern File: 18.550.04
VSAPI 第一样式发布日期: 2023年7月5日
VSAPI OPR样式版本: 18.551.00
VSAPI OPR样式发布日期: 2023年7月6日

Step 2

??Windows ME?XP??,????,????????????,??????????

Step 3

注意:在此恶意软件/间谍软件/灰色软件执行期间,并非所有文件、文件夹和注册表键值和项都会安装到您的计算机上。这可能是由于不完整的安装或其他操作系统条件所致。如果您没有找到相同的文件/文件夹/注册表信息,请继续进行下一步操作。

Step 4

???????

[ 更多 ]

????:????Windows???

[ 更多 ]
[ 更多 ]
,????Microsoft??,????????????

  • In HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services
    • MaxDisconnectionTime = 1209600000

Step 5

????????

[ 更多 ]
??????????????????????????????????????,??????????????????
  • {Encrypted Directory}\!!readme!!!.txt
  • {Malware File Path}\temp.cmd

Step 6

?????????????,???????Ransom.Win64.GROUNDE.THGOEBC?? ????????????????????????,????????????????????????????????????????

Step 7

从备份中恢复加密文件。