Ransom.Win64.THREEAM.THDAIBD

2024年6月4日

分析者: Melvin Jhun Palbusa

平台:

Windows

总体风险等级:

潜在破坏:

潜在分布:

感染次数:

信息暴露:

恶意软件类型:
Ransomware
有破坏性？:
没有
加密？:
In the Wild:
是的

概要

感染途徑: 从互联网上下载, 下载了其他恶意软件

它以文件的形式出现在系统中，可能是其他恶意软件投放的，或者是用户在访问恶意网站时无意中下载的。

技术详细信息

文件大小: 545,792 bytes

报告日期: , EXE

内存驻留: 是的

初始樣本接收日期: 2024年4月19日

Payload: 修改系统注册表

新病毒详细信息

它以文件的形式出现在系统中，可能是其他恶意软件投放的，或者是用户在访问恶意网站时无意中下载的。

安装

它添加下列进程：

"netsh.exe" advfirewall firewall set rule "group="Network Discovery"" new enable=Yes
"wbadmin.exe" delete systemstatebackup -keepVersions:0 -quiet
"wbadmin.exe" DELETE SYSTEMSTATEBACKUP
"wbadmin.exe" DELETE SYSTEMSTATEBACKUP -deleteOldest
"bcdedit.exe" /set {default} recoveryenabled No"bcdedit.exe" /set {default} bootstatuspolicy ignoreallfailures
"wmic.exe" SHADOWCOPY DELETE /nointeractive
"cmd.exe" /c wevtutil cl security
"cmd.exe" /c wevtutil cl system
"cmd.exe" /c wevtutil cl application
"vssadmin.exe" delete shadows /all /quiet

自启动技术

它添加下列注册表项，在系统每次启动时自行执行：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
3AMTheTimeOfMysticismIsntIt? = {Malware File Path}\{Malware File name}

其他系统修改

它添加下列注册表项作为安装例程的一部分：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\LanmanServer\Parameters
MaxMpxCt = 0x0000fffff(65535)

进程终止

它终止在受感染的系统上运行的下列服务：

vmcomp
vmwp
veeam
Back
xchange
backup
Backup
acronis
AcronisAgent
AcrSch2Svc
sql
Enterprise
Veeam
VeeamTransportSvc
VeeamNFSSvc
AcrSch
bedbg
DCAgent
EPSecurity
EPUpdate
Eraser
EsgShKernel
FA_Scheduler
IISAdmin
IMAP4
MBAM
Endpoint
Afee
McShield
task
mfemms
mfevtp
mms
MsDts
Exchange
ntrt
PDVF
POP3
Report
RESvc
Monitor
Smcinst
SmcService
SMTP
SNAC
swi_
CCSF
ccEvtMgr
ccSetMgr
TrueKey
tmlisten
UIODetect
W3S
WRSVC
NetMsmq
ekrn
EhttpSrv
ESHASRV
AVP
klnagent
wbengine
KAVF
mfefire
svc$
memtas
mepocs
GxVss
GxCVD
GxBlr
GxFWD
GxCIMgr
BackupExecVSSProvider
BackupExecManagementService
BackupExecJobEngine
BackupExecDiveciMediaService
BackupExecAgentBrowser
BackupExecAgentAccelerator
vss
BacupExecRPCService
CASAD2WebSvc
CAARCUpdateSvc
YooBackup
YooIT

它终止在受感染的系统内存中运行的下列进程：

backup.exe
Backup.exe
calc.exe
CNTAoSMgr.exe
dbeng.exe
dbeng50.exe
dbsnmp.exe
ekrn.exe
encsvc.exe
excel.exe
firefox.exe
firefoxconfig.exe
infopath.exe
isqlplussvc.exe
mbamtray.exe
msaccess.exe
mspub.exe
mydesktop.exe
mydesktopqos.exe
mydesktopservice.exe
notepad.exe
Ntrtscan.exe
ocautoupds.exe
ocomm.exe
ocssd.exe
onenote.exe
oracle.exe
outlook.exe
PccNTMon.exe
powerpnt.exe
raccine.exe
Raccine.exe
sqbcoreservice.exe
sql.exe
sqlbcoreservice.exe
steam.exe
synctime.exe
tbirdconfig.exe
thebat.exe
thunderbird.exe
tmlisten.exe
veeam.exe
virtual.exe
visio.exe
vmcomp.exe
vmwp.exe
winword.exe
word.exe
wordpad.exe
xchange.exe
xfssvccon.exe
zoolz.exe

其他详细信息

该程序执行以下操作：

It empties the Recycled Bin
It checks if the following file exists:
- view.lock
它使用 Windows 重启管理器 API 来关闭可能正在保持文件打开状态并阻止加密的进程或 Windows 服务。
When encrypting network shares it will check if the IP address starts with the following to ensure that it is encrypting local, non-internet, systems:
- 172.
- 192.168.
- 10.
- 169.
It looks for database storage files by looking for the following strings in their file path:
- .4dd
- .4dl
- .accdb
- .accdc
- .accde
- .accdr
- .accdt
- .accft
- .adb
- .ade
- .adf
- .adp
- .arc
- .ora
- .alf
- .ask
- .btr
- .bdf
- .cat
- .cdb
- .ckp
- .cma
- .cpd
- .dacpac
- .dad
- .dadiagrams
- .daschema
- .db
- .db-shm
- .db-wal
- .db3
- .dbc
- .dbf
- .dbs
- .dbt
- .dbv
- .dbx
- .dcb
- .dct
- .dcx
- .ddl
- .dlis
- .dp1
- .dqy
- .dsk
- .dsn
- .dtsx
- .dxl
- .eco
- .edb
- .epim
- .exb
- .fcd
- .fdb
- .fic
- .fmp
- .fmp12
- .fmpsl
- .fol
- .fp3
- .fp4
- .fp5
- .fp7
- .fpt
- .frm
- .gdb
- .grdb
- .gwi
- .hdb
- .his
- .ib
- .idb
- .ihx
- .itdb
- .itw
- .jet
- .jtx
- .kdb
- .kexi
- .kexic
- .kexis
- .lgc
- .lwx
- .maf
- .maq
- .mar
- .mas
- .mav
- .mdb
- .mdf
- .mpd
- .mrg
- .mud
- .mwb
- .myd
- .ndf
- .nnt
- .nrmlib
- .ns2
- .ns3
- .ns4
- .nsf
- .nv
- .nv2
- .nwdb
- .nyf
- .odb
- .oqy
- .orx
- .owc
- .p96
- .p97
- .pan
- .pdb
- .pdm
- .pnz
- .qry
- .qvd
- .rbf
- .rctd
- .rod
- .rodx
- .rpd
- .rsd
- .sas7bdat
- .sbf
- .scx
- .sdb
- .sdc
- .sdf
- .sis
- .sqlite
- .sqlite3
- .sqlitedb
- .te
- .temx
- .tmd
- .tps
- .trc
- .trm
- .udb
- .udl
- .usr
- .v12
- .vis
- .vpd
- .vvv
- .wdb
- .wmdb
- .wrk
- .xdb
- .xld
- .xmlff
- .abcddb
- .abs
- .abx
- .accdw
- .adn
- .db2
- .fm5
- .hjt
- .icg
- .icr
- .kdb
- .lut
- .maw
- .mdn
- .mdt
It looks for disk image files by looking for the following file extensions in their file path:
- .vdi
- .vhd
- .vmdk
- .pvm
- .vmem
- .vmsn
- .vmsd
- .nvram
- .vmx
- .raw
- .qcow2
- .subvol
- .bin
- .vsv
- .avhd
- .vmrs
- .vhdx
- .avdx
- .vmcx
- .iso

解决方案

最小扫描引擎: 9.800

First VSAPI Pattern File: 19.330.02

VSAPI 第一样式发布日期: 2024年5月9日

VSAPI OPR样式版本: 19.331.00

VSAPI OPR样式发布日期: 2024年5月10日

Step 2

对于Windows ME和XP用户，在扫描前，请确认已禁用系统还原功能，才可全面扫描计算机。

Step 3

注意：在此恶意软件/间谍软件/灰色软件执行期间，并非所有文件、文件夹和注册表键值和项都会安装到您的计算机上。这可能是由于不完整的安装或其他操作系统条件所致。如果您没有找到相同的文件/文件夹/注册表信息，请继续进行下一步操作。

Step 4

搜索和删除这些文件

[ 更多 ]

有些组件文件可能是隐藏的。请确认在"高级选项"中已选中搜索隐藏文件和文件夹复选框，使查找结果包括所有隐藏文件和文件夹。

{Encrypted Directory}\RECOVER-FILES.txt

DATA_GENERIC_FILENAME_1

在查找范围下拉列表中，选择

我的电脑然后回车确认。

一旦找到，请选择文件，然后按下SHIFT+DELETE彻底删除文件。

对剩余的文件重复第2到4步： {Encrypted Directory}\RECOVER-FILES.txt

Step 5

删除该注册表值

[ 更多 ]

注意事项：错误编辑Windows注册表会导致不可挽回的系统故障。只有在您掌握后或在系统管理员的帮助下才能完成这步。或者，请先阅读Microsoft文章，然后再修改计算机注册表。

In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- 3AMTheTimeOfMysticismIsntIt? = {Malware File Path}\{Malware File name}
In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
- MaxMpxCt = 0x0000fffff(65535)

Step 6

使用亚信安全产品扫描计算机，并删除检测到的Ransom.Win64.THREEAM.THDAIBD文件如果检测到的文件已被亚信安全产品清除、删除或隔离，则无需采取进一步措施。可以选择直接删除隔离的文件。请参阅知识库页面了解详细信息。

Step 7