Ransom.Win64.MORPHUES.THAOCBE
2025年2月13日
:
Ransom:Win32/Morpheus.DA!MTB (MICROSOFT)
平台:
Windows
总体风险等级:
潜在破坏:
潜在分布:
感染次数:
信息暴露:
恶意软件类型:
Ransomware
有破坏性?:
没有
加密?:
没有
In the Wild:
是的
概要
感染途徑: 从互联网下载、由其他恶意软件释放
该勒索软件通过两种途径侵入系统:一是被其他恶意软件作为文件植入,二是用户访问恶意网站时在不知情的情况下下载的文件。
它会释放勒索说明文件作为赎金票据,并避免加密具有以下扩展名的文件:
技术详细信息
文件大小: 18,432 bytes
报告日期: EXE
内存驻留: 没有
初始樣本接收日期: 2025年1月3日
Payload: 加密文件、终止进程
Arrival Details
该勒索软件通过两种途径侵入系统:一是被其他恶意软件作为文件植入,二是用户访问恶意网站时在不知情的情况下下载的文件。
进程终止
此勒索软件会终止受感染系统内存中运行的以下进程:
- dsa-connect.exe
- nginx.exe
- dsvp.exe
- dsuam.exe
- dsa-wrs-app.exe
- dsc.exe
- EndpointBasecamp.exe
- CloudEndpointService.exe
- dsa.exe
- ds_monitor.exe
- tm_netagent.exe
- Notifier.exe
- WSCommunicator.exe
- coreFrameworkHost.exe
- coreServiceShell.exe
- tm_netagent.exe
- TMLoader32.exe
- TMLoader64.exe
其他信息
该勒索软件会执行以下操作:
- 该勒索软件通常通过以下方式执行: "er.bat" (Trojan.BAT. MORPHUES.THAOCBE) 以及终止所列进程。
- 该程序不会为加密文件添加扩展名。
它接受以下参数:
- ww → Required
- {Path to Encrypt} → specific path to encrypt
Ransomware Routine
此勒索软件会避免加密文件路径中包含以下字符串的文件:
- \Windows\System32
它会释放以下文件作为勒索信:
- {Encrypted Directory}\_README_.txt
qSUQkuj.jpg)
它会避免加密具有以下文件扩展名的文件:
- .dll
- .sys
- .exe
- .drv
- .com
- .cat
解决方案
最小扫描引擎: 9.800
First VSAPI Pattern File: 19.842.02
VSAPI 第一样式发布日期: 2025年1月16日
VSAPI OPR样式版本: 19.843.00
VSAPI OPR样式发布日期: 2025年1月17日
Step 1
亚信安全测性机器学习可在恶意软件初现时、尚未在系统执行前便及时检测并拦截。启用此功能后,您的亚信安全产品会使用以下机器学习命名标识检测该恶意软件:
- Troj.Win32.TRX.XXPE50FFF089
Step 2
在进行任何扫描之前,Windows 7、Windows 8、Windows 8.1 和 Windows 10 用户必须先执行以下操作: 禁用 系统还原 以便对电脑进行全面扫描。
Step 3
使用您的亚信安全产品扫描电脑,删除被检测为以下名称的文件 Ransom.Win64.MORPHUES.THAOCBE. 若亚信安全产品已将检测到的文件清除、删除或隔离,则无需再执行任何额外步骤;您也可选择直接删除隔离区中的文件。更多信息请访问以下亚信安全支持页面:
Step 4
从备份中还原加密文件。