RANSOM_JIGSAW.H

感染途徑: 从互联网上下载

如需此「間諜程式」的快速全面一覽，請參閱下面的「安全威脅圖表」。

文件大小: 605,184 bytes

报告日期: EXE

内存驻留: 没有

初始樣本接收日期: 2016年6月7日

Payload: 显示消息/消息框

新病毒详细信息

它可能是从下列远程站点下载而来：

http://a.{BLOCKED}f.cat/sqbclc.exe

安装

它在受感染的系统中植入并执行下列自身副本：

%Application Data%\Phtsd\phtsd.exe
%AppDataLocal%\Movgt\movgt.exe

(注意: %Application Data% 是当前用户的 Application Data 文件夹，通常位于 C:\Windows\Profiles\{user name}\Application Data (Windows 98 和 ME)、C:\WINNT\Profiles\{user name}\Application Data (Windows NT) 和 C:\Documents and Settings\{user name}\Local Settings\Application Data (Windows 2000、XP 和 Server 2003)。)

它创建下列文件夹：

%Application Data%\System32Work
%Application Data%\Phtsd
%AppDataLocal%\Movgt

(注意: %Application Data% 是当前用户的 Application Data 文件夹，通常位于 C:\Windows\Profiles\{user name}\Application Data (Windows 98 和 ME)、C:\WINNT\Profiles\{user name}\Application Data (Windows NT) 和 C:\Documents and Settings\{user name}\Local Settings\Application Data (Windows 2000、XP 和 Server 2003)。)

自启动技术

它添加下列注册表项，在系统每次启动时自行执行：

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
movgt.exe = "%AppDataLocal%\Movgt\movgt.exe"

其他系统修改

它修改下列文件：

It encrypts files and appends the extension .payms

其他详细信息

它使用下列扩展名加密文件：

.jpg
.jpeg
.raw
.gif
.png
.bmp
.3dm
.max
.accdb
.db
.dbf
.mdb
.pdb
.sql
.dwg
.dxf
.c
.cpp
.cs
.h
.php
.asp
.rb
.java
.jar
.class
.py
.js
.aaf
.aep
.aepx
.plb
.prel
.prproj
.aet
.ppj
.psd
.indd
.indl
.indt
.indb
.inx
.idml
.pmd
.xqx
.xqx
.ai
.eps
.ps
.svg
.swf
.fla
.as3
.as
.txt
.doc
.dot
.docx
.docm
.dotx
.dotm
.docb
.rtf
.wpd
.wps
.msg
.pdf
.xls
.xlt
.xlm
.xlsx
.xlsm
.xltx
.xltm
.xlsb
.xla
.xlam
.xll
.xlw
.ppt
.pot
.pps
.pptx
.pptm
.potx
.potm
.ppam
.ppsx
.ppsm
.sldx
.sldm
.wav
.mp3
.aif
.iff
.m3u
.m4u
.mid
.mpa
.wma
.ra
.avi
.mov
.mp4
.3gp
.mpeg
.3g2
.asf
.asx
.flv
.mpg
.wmv
.vob
.m3u8
.dat
.csv
.efx
.sdf
.vcf
.xml
.ses
.Qbw
.QBB
.QBM
.QBI
.QBR
.Cnt
.Des
.v30
.Qbo
.Ini
.Lgb
.Qwc
.Qbp
.Aif
.Qba
.Tlg
.Qbx
.Qby
.1pa
.Qpd
.Txt
.Set
.Iif
.Nd
.Rtp
.Tlg
.Wav
.Qsm
.Qss
.Qst
.Fx0
.Fx1
.Mx0
.FPx
.Fxr
.Fim
.ptb
.Ai
.Pfb
.Cgn
.Vsd
.Cdr
.Cmx
.Cpt
.Csl
.Cur
.Des
.Dsf
.Ds4
.Drw
.Dwg
.Eps
.Ps
.Prn
.Gif
.Pcd
.Pct
.Pcx
.Plt
.Rif
.Svg
.Swf
.Tga
.Tiff
.Psp
.Ttf
.Wpd
.Wpg
.Wi
.Raw
.Wmf
.Txt
.Cal
.Cpx
.Shw
.Clk
.Cdx
.Cdt
.Fpx
.Fmv
.Img
.Gem
.Xcf
.Pic
.Mac
.Met
.PP4
.Pp5
.Ppf
.Xls
.Xlsx
.Xlsm
.Ppt
.Nap
.Pat
.Ps
.Prn
.Sct
.Vsd
.wk3
.wk4
.XPM
.zip
.rar

最小扫描引擎: 9.800

First VSAPI Pattern File: 12.574.04

VSAPI 第一样式发布日期: 2016年6月7日

VSAPI OPR样式版本: 12.575.00

VSAPI OPR样式发布日期: 2016年6月8日

Step 1

对于Windows ME和XP用户，在扫描前，请确认已禁用系统还原功能，才可全面扫描计算机。

Step 3

重启进入安全模式

[ 更多 ]

Step 4

删除该注册表值

[ 更多 ]

注意事项：错误编辑Windows注册表会导致不可挽回的系统故障。只有在您掌握后或在系统管理员的帮助下才能完成这步。或者，请先阅读Microsoft文章，然后再修改计算机注册表。

In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- movgt.exe = "%AppDataLocal%\Movgt\movgt.exe"

Step 5

搜索和删除这些文件夹

[ 更多 ]

请确认在高级选项中已选中搜索隐藏文件和文件夹复选框，使查找结果包括所有隐藏文件夹。;
%Application Data%\System32Work
%Application Data%\Phtsd
%AppDataLocal%\Movgt

删除恶意软件/灰色软件/间谍软件文件夹：

右键单击然后搜索...或查找...（具体取决于您运行的Windows版本）。

在“要搜索的文件或文件夹名为”输入框，输入：

%Application Data%\System32Work
%Application Data%\Phtsd
%AppDataLocal%\Movgt

在查找范围下拉列表中，选择
我的电脑然后回车确认。

一旦找到，请选择文件夹，然后按下SHIFT+DELETE彻底删除文件夹。

对剩余的文件夹重复第2到4步： %Application Data%\System32Work
%Application Data%\Phtsd
%AppDataLocal%\Movgt

Step 6

重启进入正常模式，使用亚信安全产品扫描计算机，检测RANSOM_JIGSAW.H文件如果检测到的文件已被亚信安全产品清除、删除或隔离，则无需采取进一步措施。可以选择直接删除隔离的文件。请参阅知识库页面了解详细信息。

概要

技术详细信息

解决方案