RANSOM_CRYPSAM.C

2016年3月31日

分析者: Jennifer Gumban

Ransom:MSIL/Samas.A (Microsoft), Trojan-Ransom.MSIL.Agent.wc (Kaspersky), MSIL/Filecoder.AR (ESET)

平台:

Windows

总体风险等级:

潜在破坏:

潜在分布:

感染次数:

信息暴露:

恶意软件类型:
Trojan
有破坏性？:
没有
加密？:
没有
In the Wild:
是的

概要

感染途徑: 从互联网上下载，或由其他恶意软件释放。

它以其他恶意软件释放的文件或用户访问恶意网站时不知不觉下载的文件的形式到达系统。它开始执行然后再删除。

技术详细信息

文件大小: 217,600 bytes

报告日期: EXE

内存驻留: 没有

初始樣本接收日期: 2016年2月27日

Payload: 植入文件

安装

它植入下列组件文件：

{root drive}\HELP_DECRYPT_YOUR_FILES.html
%Desktop%\HELP_DECRYPT_YOUR_FILES.html
{folders containing encrypted files}\HELP_DECRYPT_YOUR_FILES.html

(注意: %Desktop% 是当前用户的桌面，通常位于 C:\Windows\Profiles\{user name}\Desktop (Windows 98 和 ME)、C:\WINNT\Profiles\{user name}\Desktop (Windows NT) 和 C:\Documents and Settings\{User Name}\桌面 (Windows 2000、XP 和 Server 2003)。)

它植入和执行下列文件：

{malware path}\selfdel.exe - used to delete the malware
{malware path}\del.exe - legitimate Sysinternals SDelete program. The following command is executed to wipe free space on the disk to prevent recovery:
{malware path}\del.exe -c C: /accepteula

文件感染

它避免感染包含下列字符串的文件夹：

"Windows"
"Reference Assemblies\Microsoft"
"Recycle.bin"

其他详细信息

它使用下列扩展名加密文件：

.3dm
.3ds
.3fr
.3g2
.3gp
.3pr
.7z
.ab4
.accdb
.accde
.accdr
.accdt
.ach
.acr
.act
.adb
.ads
.agdl
.ai
.aif
.aifc
.aiff
.ait
.al
.apj
.arw
.asf
.asm
.asp
.aspx
.asx
.au
.avi
.awg
.back
.backup
.backupdb
.bak
.bank
.bay
.bdb
.bgt
.bik
.bkf
.bkp
.blend
.bmp
.bpw
.c
.cdf
.cdr
.cdr3
.cdr4
.cdr5
.cdr6
.cdrw
.cdx
.ce1
.ce2
.cer
.cfp
.cgm
.cib
.class
.cls
.cmt
.cpi
.cpp
.cr2
.craw
.crt
.crw
.cs
.csh
.csl
.csv
.dac
.db
.db3
.dbf
.db-journal
.dbx
.dc2
.dcr
.dcs
.ddd
.ddoc
.ddrw
.dds
.der
.des
.design
.dgc
.dib
.djvu
.dng
.doc
.docm
.docx
.dot
.dotm
.dotx
.drf
.drw
.dtd
.dvr-ms
.dwg
.dxb
.dxf
.dxg
.emf
.eml
.eps
.erbsql
.erf
.exf
.fdb
.ffd
.fff
.fh
.fhd
.fla
.flac
.flv
.fmb
.fpx
.fxg
.gif
.gray
.grey
.gry
.h
.hbk
.hpp
.hta
.htm
.html
.ibank
.ibd
.ibz
.ico
.idx
.iif
.iiq
.incpas
.indd
.IVF
.jar
.java
.jfif
.jpe
.jpeg
.jpg
.jsp
.kbx
.kc2
.kdbx
.kdc
.key
.kpdx
.lua
.m
.m1v
.m3u
.m4v
.max
.mdb
.mdc
.mdf
.mef
.mfw
.mid
.midi
.mmw
.moneywell
.mos
.mov
.mp2
.mp2v
.mp3
.mp4
.mpa
.mpe
.mpeg
.mpg
.mpv2
.mrw
.msg
.myd
.nd
.ndd
.nef
.nk2
.nop
.nrw
.ns2
.ns3
.ns4
.nsd
.nsf
.nsg
.nsh
.nwb
.nx2
.nxl
.nyf
.oab
.obj
.odb
.odc
.odf
.odg
.odm
.odp
.ods
.odt
.oil
.orf
.ost
.otg
.oth
.otp
.ots
.ott
.p12
.p7b
.p7c
.pab
.pages
.pas
.pat
.pbl
.pbl
.pcd
.pct
.pdb
.pdd
.pdf
.pef
.pem
.pfx
.php
.php5
.phtml
.pl
.plc
.png
.pot
.potm
.potx
.ppam
.pps
.ppsm
.ppsx
.ppt
.pptm
.pptx
.prf
.ps
.psafe3
.psd
.pspimage
.pst
.ptx
.py
.qba
.qbb
.qbm
.qbr
.qbw
.qbx
.qby
.r3d
.raf
.rar
.rat
.raw
.rdb
.rle
.rm
.rmi
.rtf
.rw2
.rwl
.rwz
.s3db
.sas7bdat
.say
.sd0
.sda
.sdf
.sldm
.sldx
.snd
.sql
.sqlite
.sqlite3
.sqlitedb
.sr2
.srf
.srt
.srw
.st4
.st5
.st6
.st7
.st8
.std
.sti
.stw
.stx
.svg
.swf
.sxc
.sxd
.sxg
.sxi
.sxm
.sxw
.tex
.tga
.thm
.tib
.tif
.tif
.tiff
.tlg
.txt
.vob
.wallet
.war
.wav
.wax
.wb2
.wm
.wma
.wmf
.wmv
.wmx
.wpd
.wps
.wvx
.x11
.x3f
.xis
.xla
.xlam
.xlk
.xlm
.xlr
.xls
.xlsb
.xlsm
.xlsx
.xlt
.xltm
.xltx
.xlw
.xml
.ycbcra
.yuv
.zip

解决方案

最小扫描引擎: 9.800

First VSAPI Pattern File: 12.368.05

VSAPI 第一样式发布日期: 2016年2月27日

VSAPI OPR样式版本: 12.369.00

VSAPI OPR样式发布日期: 2016年2月28日

Step 1

对于Windows ME和XP用户，在扫描前，请确认已禁用系统还原功能，才可全面扫描计算机。

Step 2

搜索和删除这些文件

[ 更多 ]

有些组件文件可能是隐藏的。请确认在"高级选项"中已选中搜索隐藏文件和文件夹复选框，使查找结果包括所有隐藏文件和文件夹。

HELP_DECRYPT_YOUR_FILES.html

DATA_GENERIC_FILENAME_1

在查找范围下拉列表中，选择

我的电脑然后回车确认。

一旦找到，请选择文件，然后按下SHIFT+DELETE彻底删除文件。

对剩余的文件重复第2到4步：
HELP_DECRYPT_YOUR_FILES.html

Step 3

使用亚信安全产品扫描计算机，并删除检测到的RANSOM_CRYPSAM.C文件如果检测到的文件已被亚信安全产品清除、删除或隔离，则无需采取进一步措施。可以选择直接删除隔离的文件。请参阅知识库页面了解详细信息。