RANSOM_CERBER.A

感染途徑: 从互联网上下载

它以其他恶意软件释放的文件或用户访问恶意网站时不知不觉下载的文件的形式到达系统。它开始执行然后再删除。

文件大小: 不定

报告日期: EXE

内存驻留: 是的

初始樣本接收日期: 2016年3月3日

安装

它在受感染的系统中植入并执行下列自身副本：

%Application Data%\{GUID}\{random file from system32 folder}.exe

(注意: %Application Data% 是当前用户的 Application Data 文件夹，通常位于 C:\Windows\Profiles\{user name}\Application Data (Windows 98 和 ME)、C:\WINNT\Profiles\{user name}\Application Data (Windows NT) 和 C:\Documents and Settings\{user name}\Local Settings\Application Data (Windows 2000、XP 和 Server 2003)。)

它植入下列组件文件：

%Desktop%\# DECRYPT MY FILES #.txt
%Desktop%\# DECRYPT MY FILES #.html
%Desktop%\# DECRYPT MY FILES #.vbs
{folders containing encrypted files}\# DECRYPT MY FILES #.txt
{folders containing encrypted files}\# DECRYPT MY FILES #.html
{folders containing encrypted files}\# DECRYPT MY FILES #.vbs
%Tasks%\{random filename from system32 folder}

(注意: %Desktop% 是当前用户的桌面，通常位于 C:\Windows\Profiles\{user name}\Desktop (Windows 98 和 ME)、C:\WINNT\Profiles\{user name}\Desktop (Windows NT) 和 C:\Documents and Settings\{User Name}\桌面 (Windows 2000、XP 和 Server 2003)。)

它使用Windows任务计划添加预定的任务，可以执行由其植入的副本。

自启动技术

它添加下列注册表项，在系统每次启动时自行执行：

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{random filename from system32 folder} = "%Application Data%\{GUID}\{random filename from system32 folder}.exe"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\RunOnce
{random filename from system32 folder} = "%Application Data%\{GUID}\{random filename from system32 folder}.exe"

HKEY_CURRENT_USER\Software\Microsoft\
Command Processor
AutoRun = "%Application Data%\{GUID}\{random filename from system32 folder}.exe"

(Note:This registry entry runs the malware each time start Command Processor (Cmd.exe) is executed)

HKEY_CURRENT_USER\Control Panel\Desktop
SCRNSAVE.EXE = "%Application Data%\{GUID}\{random filename from system32 folder}.exe"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer
Run = "%Application Data%\{GUID}\{random filename from system32 folder}.exe"

它将下列文件植入 Windows 用户启动文件夹，以便在系统每次启动时自动执行：

%User Startup%\{random filename from system32 folder}.lnk

(注意: %User Startup% 是当前用户的启动文件夹，通常位于 C:\Windows\Profiles\{user name}\Start Menu\Programs\Startup (Windows 98 和 ME)、C:\WINNT\Profiles\{user name}\Start Menu\Programs\Startup (Windows NT) 和 C:\Documents and Settings\{User name}\「开始」菜单\程序\启动。)

其他系统修改

它修改下列文件：

It renames encrypted files to {random name}.cerber

它在其安装例程中修改下列注册表项/条目：

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings
ProxyServer = "http=127.0.0.1:8888;https=127.0.0.1:8888;"

(Note: The default value data of the said registry entry is {user-defined}.)

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings
ProxyEnable = "1"

(Note: The default value data of the said registry entry is {user-defined}.)

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings
ProxyOverride = "<-loopback>;"

(Note: The default value data of the said registry entry is {user-defined}.)

Web浏览器主页和搜索页面修改

它修改 Internet Explorer 区域设置。

其他详细信息

它使用下列扩展名加密文件：

.contact
.dbx
.doc
.docx
.jnt
.jpg
.mapimail
.msg
.oab
.ods
.pdf
.pps
.ppsm
.ppt
.pptm
.prf
.pst
.rar
.rtf
.txt
.wab
.xls
.xlsx
.xml
.zip
.1cd
.3ds
.3g2
.3gp
.7z
.7zip
.accdb
.aoi
.asf
.asp
.aspx
.asx
.avi
.bak
.cer
.cfg
.class
.config
.css
.csv
.db
.dds
.dwg
.dxf
.flf
.flv
.html
.idx
.js
.key
.kwm
.laccdb
.ldf
.lit
.m3u
.mbx
.md
.mdf
.mid
.mlb
.mov
.mp3
.mp4
.mpg
.obj
.odt
.pages
.php
.psd
.pwm
.rm
.safe
.sav
.save
.sql
.srt
.swf
.thm
.vob
.wav
.wma
.wmv
.xlsb
.3dm
.aac
.ai
.arw
.c
.cdr
.cls
.cpi
.cpp
.cs
.db3
.docm
.dot
.dotm
.dotx
.drw
.dxb
.eps
.fla
.flac
.fxg
.java
.m
.m4v
.max
.mdb
.pcd
.pct
.pl
.potm
.potx
.ppam
.ppsm
.ppsx
.pptm
.ps
.pspimage
.r3d
.rw2
.sldm
.sldx
.svg
.tga
.wps
.xla
.xlam
.xlm
.xlr
.xlsm
.xlt
.xltm
.xltx
.xlw
.act
.adp
.al
.bkp
.blend
.cdf
.cdx
.cgm
.cr2
.crt
.dac
.dbf
.dcr
.ddd
.design
.dtd
.fdb
.fff
.fpx
.h
.iif
.indd
.jpeg
.mos
.nd
.nsd
.nsf
.nsg
.nsh
.odc
.odp
.oil
.pas
.pat
.pef
.pfx
.ptx
.qbb
.qbm
.sas7bdat
.say
.st4
.st6
.stc
.sxc
.sxw
.tlg
.wad
.xlk
.aiff
.bin
.bmp
.cmt
.dat
.dit
.edb
.flvv
.gif
.groups
.hdd
.hpp
.log
.m2ts
.m4p
.mkv
.mpeg
.ndf
.nvram
.ogg
.ost
.pab
.pdb
.pif
.png
.qed
.qcow
.qcow2
.rvt
.st7
.stm
.vbox
.vdi
.vhd
.vhdx
.vmdk
.vmsd
.vmx
.vmxf
.3fr
.3pr
.ab4
.accde
.accdr
.accdt
.ach
.acr
.adb
.ads
.agdl
.ait
.apj
.asm
.awg
.back
.backup
.backupdb
.bank
.bay
.bdb
.bgt
.bik
.bpw
.cdr3
.cdr4
.cdr5
.cdr6
.cdrw
.ce1
.ce2
.cib
.craw
.crw
.csh
.csl
.db_journal
.dc2
.dcs
.ddoc
.ddrw
.der
.des
.dgc
.djvu
.dng
.drf
.dxg
.eml
.erbsql
.erf
.exf
.ffd
.fh
.fhd
.gray
.grey
.gry
.hbk
.ibank
.ibd
.ibz
.iiq
.incpas
.jpe
.kc2
.kdbx
.kdc
.kpdx
.lua
.mdc
.mef
.mfw
.mmw
.mny
.moneywell
.mrw
.myd
.ndd
.nef
.nk2
.nop
.nrw
.ns2
.ns3
.ns4
.nwb
.nx2
.nxl
.nyf
.odb
.odf
.odg
.odm
.orf
.otg
.oth
.otp
.ots
.ott
.p12
.p7b
.p7c
.pdd
.pem
.plus_muhd
.plc
.pot
.pptx
.psafe3
.py
.qba
.qbr
.qbw
.qbx
.qby
.raf
.rat
.raw
.rdb
.rwl
.rwz
.s3db
.sd0
.sda
.sdf
.sqlite
.sqlite3
.sqlitedb
.sr2
.srf
.srw
.st5
.st8
.std
.sti
.stw
.stx
.sxd
.sxg
.sxi
.sxm
.tex
.wallet
.wb2
.wpd
.x11
.x3f
.xis
.ycbcra
.yuv

最小扫描引擎: 9.800

First VSAPI Pattern File: 12.378.08

VSAPI 第一样式发布日期: 2016年3月3日

VSAPI OPR样式版本: 12.379.00

VSAPI OPR样式发布日期: 2016年3月4日

Step 1

对于Windows ME和XP用户，在扫描前，请确认已禁用系统还原功能，才可全面扫描计算机。

Step 3

使用亚信安全产品扫描计算机，记录检测为RANSOM_CERBER.A的文件

Step 4

重启进入安全模式

[ 更多 ]

Step 5

删除该注册表值

[ 更多 ]

注意事项：错误编辑Windows注册表会导致不可挽回的系统故障。只有在您掌握后或在系统管理员的帮助下才能完成这步。或者，请先阅读Microsoft文章，然后再修改计算机注册表。

In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- {random filename from system32 folder} = "%Application Data%\{GUID}\{random filename from system32 folder}.exe"
In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
- {random filename from system32 folder} = "%Application Data%\{GUID}\{random filename from system32 folder}.exe"
In HKEY_CURRENT_USER\Software\Microsoft\Command Processor
- AutoRun = "%Application Data%\{GUID}\{random filename from system32 folder}.exe"
In HKEY_CURRENT_USER\Control Panel\Desktop
- SCRNSAVE.EXE = "%Application Data%\{GUID}\{random filename from system32 folder}.exe"
In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
- Run = "%Application Data%\{GUID}\{random filename from system32 folder}.exe"

Step 7

删除任务计划

打开 Windows 任务计划。单击“开始”>“程序”>“附件”>
“系统工具”>“任务计划”。
找到“计划”列中具有下列值的所有任务:
!!!REPLACE THIS!!!
右键单击具有上述值的文件。
单击“属性”。在“运行”字段中，检查下列字符串:
Cmd /c /rd /s /q C:
如果找到上述字符串，则删除该任务。

Step 8

搜索和删除这些文件

[ 更多 ]

有些组件文件可能是隐藏的。请确认在"高级选项"中已选中搜索隐藏文件和文件夹复选框，使查找结果包括所有隐藏文件和文件夹。

%Desktop%\# DECRYPT MY FILES #.txt
%Desktop%\# DECRYPT MY FILES #.html
%Desktop%\# DECRYPT MY FILES #.vbs
{folders containing encrypted files}\# DECRYPT MY FILES #.txt
{folders containing encrypted files}\# DECRYPT MY FILES #.html
{folders containing encrypted files}\# DECRYPT MY FILES #.vbs
%User Startup%\{random filename from system32 folder}.lnk

DATA_GENERIC_FILENAME_1

在查找范围下拉列表中，选择

我的电脑然后回车确认。

一旦找到，请选择文件，然后按下SHIFT+DELETE彻底删除文件。

对剩余的文件重复第2到4步： %Desktop%\# DECRYPT MY FILES #.txt
%Desktop%\# DECRYPT MY FILES #.html
%Desktop%\# DECRYPT MY FILES #.vbs
{folders containing encrypted files}\# DECRYPT MY FILES #.txt
{folders containing encrypted files}\# DECRYPT MY FILES #.html
{folders containing encrypted files}\# DECRYPT MY FILES #.vbs
%User Startup%\{random filename from system32 folder}.lnk

Step 9

重启进入正常模式，使用亚信安全产品扫描计算机，检测RANSOM_CERBER.A文件如果检测到的文件已被亚信安全产品清除、删除或隔离，则无需采取进一步措施。可以选择直接删除隔离的文件。请参阅知识库页面了解详细信息。

概要

技术详细信息

解决方案