RANSOM_HPCERBER.SM6

2016年11月15日

分析者: Francis Xavier Antazo

Ransom:Win32/Cerber!rfn (Microsoft); Win32/Filecoder.Cerber.B (ESET); Ransom.Cerber!g10 (Symantec); Ransom.Cerber (Malwarebytes);

平台:

Windows

总体风险等级:

潜在破坏:

潜在分布:

感染次数:

信息暴露:

恶意软件类型:
Trojan
有破坏性？:
没有
加密？:
是的
In the Wild:
是的

概要

感染途徑: 从互联网上下载

如需此「間諜程式」的快速全面一覽，請參閱下面的「安全威脅圖表」。

它可能是由远程站点的其他恶意软件/灰色软件/间谍软件下载而来。

技术详细信息

文件大小: 237183 bytes

报告日期: EXE

内存驻留: 是的

初始樣本接收日期: 2016年11月4日

Payload: 显示消息/消息框, 显示图形/图片

新病毒详细信息

它可能是由远程站点的其他恶意软件/灰色软件/间谍软件下载而来。

安装

它植入下列文件：

{folders containing encrypted files}\README.hta
%User Temp%\{random file name}.bmp

(注意: %User Temp% 是当前用户的 Temp 文件夹。通常位于 C:\Documents and Settings\{user name}\Local Settings\Temp (Windows 2000、XP 和 Server 2003)。)

其他系统修改

它添加下列注册表项：

HKEY_CURRENT_USER\Control Panel\Desktop
Wallpaper = %User Temp%\{random file name}.bmp

进程终止

它终止在受感染的系统内存中运行的下列进程：

msftesql.exe
sqlagent.exe
sqlbrowser.exe
sqlservr.exe
sqlwriter.exe
oracle.exe
ocssd.exe
dbsnmp.exe
synctime.exe
mydesktopqos.exe
agntsvc.exeisqlplussvc.exe
xfssvccon.exe
mydesktopservice.exe
ocautoupds.exe
agntsvc.exeagntsvc.exe
agntsvc.exeencsvc.exe
firefoxconfig.exe
tbirdconfig.exe
ocomm.exe
mysqld.exe
mysqld-nt.exe
mysqld-opt.exe
dbeng50.exe
sqbcoreservice.exe

信息窃取

它收集下列数据:

MD5_KEY
PARTNER_ID
OS
IS_X64
IS_ADMIN
COUNT_FILES
STOP_REASON

其他详细信息

它使用下列扩展名加密文件：

.accdb
.mdb
.mdf
.dbf
.vpd
.sdf
.sqlitedb
.sqlite3
.sqlite
.sql
.sdb
.doc
.docx
.odt
.xls
.xlsx
.ods
.ppt
.pptx
.odp
.pst
.dbx
.wab
.tbk
.pps
.ppsx
.pdf
.jpg
.tif
.pub
.one
.rtf
.csv
.docm
.xlsm
.pptm
.ppsm
.xlsb
.dot
.dotx
.dotm
.xlt
.xltx
.xltm
.pot
.potx
.potm
.xps
.wps
.xla
.xlam
.erbsql
.sqlite-shm
.sqlite-wal
.litesql
.ndf
.ost
.pab
.oab
.contact
.jnt
.mapimail
.msg
.prf
.rar
.txt
.xml
.zip
.1cd
.3ds
.3g2
.3gp
.7z
.7zip
.aoi
.asf
.asp
.aspx
.asx
.avi
.bak
.cer
.cfg
.class
.config
.css
.dds
.dwg
.dxf
.flf
.flv
.html
.idx
.js
.key
.kwm
.laccdb
.ldf
.lit
.m3u
.mbx
.md
.mid
.mlb
.mov
.mp3
.mp4
.mpg
.obj
.pages
.php
.psd
.pwm
.rm
.safe
.sav
.save
.srt
.swf
.thm
.vob
.wav
.wma
.wmv
.3dm
.aac
.ai
.arw
.c
.cdr
.cls
.cpi
.cpp
.cs
.db3
.drw
.dxb
.eps
.fla
.flac
.fxg
.java
.m
.m4v
.max
.pcd
.pct
.pl
.ppam
.ps
.pspimage
.r3d
.rw2
.sldm
.sldx
.svg
.tga
.xlm
.xlr
.xlw
.act
.adp
.al
.bkp
.blend
.cdf
.cdx
.cgm
.cr2
.crt
.dac
.dcr
.ddd
.design
.dtd
.fdb
.fff
.fpx
.h
.iif
.indd
.jpeg
.mos
.nd
.nsd
.nsf
.nsg
.nsh
.odc
.oil
.pas
.pat
.pef
.pfx
.ptx
.qbb
.qbm
.sas7bdat
.say
.st4
.st6
.stc
.sxc
.sxw
.tlg
.wad
.xlk
.aiff
.bin
.bmp
.cmt
.dat
.dit
.edb
.flvv
.gif
.groups
.hdd
.hpp
.m2ts
.m4p
.mkv
.mpeg
.nvram
.ogg
.pdb
.pif
.png
.qed
.qcow
.qcow2
.rvt
.st7
.stm
.vbox
.vdi
.vhd
.vhdx
.vmdk
.vmsd
.vmx
.vmxf
.3fr
.3pr
.ab4
.accde
.accdr
.accdt
.ach
.acr
.adb
.ads
.agdl
.ait
.apj
.asm
.awg
.back
.backup
.backupdb
.bank
.bay
.bdb
.bgt
.bik
.bpw
.cdr3
.cdr4
.cdr5
.cdr6
.cdrw
.ce1
.ce2
.cib
.craw
.crw
.csh
.csl
.db_journal
.dc2
.dcs
.ddoc
.ddrw
.der
.des
.dgc
.djvu
.dng
.drf
.dxg
.eml
.erf
.exf
.ffd
.fh
.fhd
.gray
.grey
.gry
.hbk
.ibank
.ibd
.ibz
.iiq
.incpas
.jpe
.kc2
.kdbx
.kdc
.kpdx
.lua
.mdc
.mef
.mfw
.mmw
.mny
.moneywell
.mrw
.myd
.ndd
.nef
.nk2
.nop
.nrw
.ns2
.ns3
.ns4
.nwb
.nx2
.nxl
.nyf
.odb
.odf
.odg
.odm
.orf
.otg
.oth
.otp
.ots
.ott
.p12
.p7b
.p7c
.pdd
.mts
.plus_muhd
.plc
.psafe3
.py
.qba
.qbr
.qbw
.qbx
.qby
.raf
.rat
.raw
.rdb
.rwl
.rwz
.s3db
.sd0
.sda
.sr2
.srf
.srw
.st5
.st8
.std
.sti
.stw
.stx
.sxd
.sxg
.sxi
.sxm
.tex
.wallet
.wb2
.wpd
.x11
.x3f
.xis
.ycbcra
.yuv
.mab
.json
.msf
.jar
.cdb
.srb
.abd
.qtb
.cfn
.info
.info_
.flb
.def
.atb
.tbn
.tbb
.tlx
.pml
.pmo
.pnx
.pnc
.pmi
.pmm
.lck
.pm!
.pmr
.usr
.pnd
.pmj
.pm
.lock
.srs
.pbf
.omg
.wmf
.sh
.war
.ascx
.k2p
.apk
.asset
.bsa
.d3dbsp
.das
.forge
.iwi
.lbf
.litemod
.ltx
.m4a
.re4
.slm
.tiff
.upk
.xxx
.money
.cash
.private
.cry
.vsd
.tax
.gbr
.dgn
.stl
.gho
.ma
.acc
.db

它使用下列名称重命名加密文件：

{10 Random Characters}.{4 Random}

解决方案

最小扫描引擎: 9.800

First VSAPI Pattern File: 12.888.04

VSAPI 第一样式发布日期: 2016年11月9日

VSAPI OPR样式版本: 12.889.00

VSAPI OPR样式发布日期: 2016年11月10日

Step 1

对于Windows ME和XP用户，在扫描前，请确认已禁用系统还原功能，才可全面扫描计算机。

Step 2

搜索和删除该文件

[ 更多 ]

有些组件文件可能是隐藏的。请确认在高级选项中已选中搜索隐藏文件和文件夹复选框，使查找结果包括所有隐藏文件和文件夹。

{folders containing encrypted files}\README.hta
%User Temp%\{random file name}.bmp

Step 3

删除该注册表值

[ 更多 ]

注意事项：错误编辑Windows注册表会导致不可挽回的系统故障。只有在您掌握后或在系统管理员的帮助下才能完成这步。或者，请先阅读Microsoft文章，然后再修改计算机注册表。

In HKEY_CURRENT_USER\Control Panel\Desktop
- Wallpaper = "%User Temp%\{random file name}.bmp"

Step 4

使用趋势科技产品扫描计算机，并删除检测到的RANSOM_HPCERBER.SM6文件如果检测到的文件已被趋势科技产品清除、删除或隔离，则无需采取进一步措施。可以选择直接删除隔离的文件。请参阅知识库页面了解详细信息。