RANSOM_CRYPRAAS.SM

2015年8月5日

分析者: David John Agni

Trojan-Ransom.Win32.Raas (Ikarus), Trojan-Ransom.Win32.Raas.a (Kaspersky),

平台:

Windows

总体风险等级:

潜在破坏:

潜在分布:

感染次数:

信息暴露:

恶意软件类型:
Trojan
有破坏性？:
没有
加密？:
没有
In the Wild:
是的

概要

感染途徑: 下降了其他恶意软件, 从互联网上下载

它以其他恶意软件释放的文件或用户访问恶意网站时不知不觉下载的文件的形式到达系统。它开始执行然后再删除。

技术详细信息

文件大小: 203264 bytes

报告日期: EXE

内存驻留: 没有

初始樣本接收日期: 2015年8月3日

Payload: 窃取信息

安装

它植入下列非恶意文件：

%Desktop%\encryptor_raas_readme_liesmich.txt - ransom notes

(注意: %Desktop% 是当前用户的桌面，通常位于 C:\Windows\Profiles\{user name}\Desktop (Windows 98 和 ME)、C:\WINNT\Profiles\{user name}\Desktop (Windows NT) 和 C:\Documents and Settings\{User Name}\桌面 (Windows 2000、XP 和 Server 2003)。)

信息窃取

它收集下列数据:

Machine GUID

其他详细信息

它使用下列扩展名加密文件：

3dm
3ds
3g2
3gp
7z
abw
accdb
ai
aif
arc
as
asc
asf
ashdisc
asm
asp
aspx
asx
aup
avi
bbb
bdb
bibtex
bkf
bmp
bpn
btd
bz2
cdi
cer
cert
cfm
cgi
cpio
cpp
crt
csr
cue
c++
dds
dem
dmg
doc
docm
docx
dsb
dwg
dxf
eddx
edoc
eml
emlx
eps
epub
fdf
ffu
flv
gam
gcode
gho
gif
gpx
gz
hbk
hdd
hds
hpp
h++
ics
idml
iff
img
indd
ipd
iso
isz
iwa
j2k
jp2
jpf
jpeg
jpg
jpm
jpx
jsp
jspa
jspx
jst
key
keynote
kml
kmz
lic
lwp
lzma
m3u
m4a
m4v
max
mbox
md2
mdb
mdbackup
mddata
mdf
mdinfo
mds
mid
mov
mp3
mp4
mpa
mpb
mpeg
mpg
mpj
mpp
msg
mso
nba
nbf
nbi
nbu
nbz
nco
nes
note
nrg
nri
ods
odt
ogg
ova
ovf
oxps
p2i
p65
p7
pages
pct
pdf
pem
phtm
phtml
php
php3
php4
php5
phps
phpx
phpxx
pl
plist
pmd
pmx
png
ppdf
pps
ppsm
ppsx
ppt
pptm
pptx
ps
psd
pspimage
pst
pub
pvm
qcn
qcow
qcow2
qt
ra
rar
raw
rm
rtf
sbf
set
skb
slf
sme
smm
spb
sql
srt
ssc
ssi
stg
stl
svg
swf
sxw
syncdb
tar
tc
tex
tga
thm
tif
tiff
toast
torrent
tpl
ts
txt
vbk
vcard
vcd
vcf
vdi
vfs4
vhd
vhdx
vmdk
vob
wbverify
wav
webm
wmb
wpb
wps
xdw
xlr
xls
xlsx
xz
yuv
zip
zipx

解决方案

最小扫描引擎: 9.750

VSAPI OPR样式版本: 11.833.00

VSAPI OPR样式发布日期: 2015年8月5日

Step 1

使用亚信安全产品扫描计算机，并删除检测到的RANSOM_CRYPRAAS.SM文件如果检测到的文件已被亚信安全产品清除、删除或隔离，则无需采取进一步措施。可以选择直接删除隔离的文件。请参阅知识库页面了解详细信息。

Step 3

对于Windows ME和XP用户，在扫描前，请确认已禁用系统还原功能，才可全面扫描计算机。