RANSOM_LOCKY.TIAOKAI
Ransom.Rapid (Malwarebytes); W32/Injector.DVHR!tr (Fortinet); Trojan-Banker.Win32.Jimmy.aap (Kaspersky)
Windows
恶意软件类型:
Ransomware
有破坏性?:
没有
加密?:
是的
In the Wild:
是的
技术详细信息
安装
它在受感染的系统中植入并执行下列自身副本:
- %User Temp%\svchosta.exe (Windows Vista or above)
- %Application Data%\svchosta.exe (Windows XP or below)
(注意: %User Temp% 是当前用户的 Temp 文件夹。通常位于 C:\Documents and Settings\{user name}\Local Settings\Temp (Windows 2000、XP 和 Server 2003)。. %Application Data% 是当前用户的 Application Data 文件夹,通常位于 C:\Windows\Profiles\{user name}\Application Data (Windows 98 和 ME)、C:\WINNT\Profiles\{user name}\Application Data (Windows NT) 和 C:\Documents and Settings\{user name}\Local Settings\Application Data (Windows 2000、XP 和 Server 2003)。)
它植入下列文件:
- %System Root%\Users\Public\PUBLIC (Windows Vista or above)
- %System Root%\Documents and Settings\Default User\PUBLIC (Windows XP or below)
- %System Root%\Users\Public\UNIQUE_ID_DO_NOT_REMOVE (Windows Vista or above)
- %System Root%\Documents and Settings\Default User\UNIQUE_ID_DO_NOT_REMOVE (Windows XP or below)
(注意: %System Root% 是根文件夹,通常位于 C:\。它也是操作系统所在的位置。)
它植入和执行下列文件:
- %User Temp%\svchostaaexe.bat (Windows Vista or above) -> used to delete initial copy and itself
- %Application Data%\svchostaaexe.bat (Windows XP or below) -> used to delete initial copy and itself
(注意: %User Temp% 是当前用户的 Temp 文件夹。通常位于 C:\Documents and Settings\{user name}\Local Settings\Temp (Windows 2000、XP 和 Server 2003)。. %Application Data% 是当前用户的 Application Data 文件夹,通常位于 C:\Windows\Profiles\{user name}\Application Data (Windows 98 和 ME)、C:\WINNT\Profiles\{user name}\Application Data (Windows NT) 和 C:\Documents and Settings\{user name}\Local Settings\Application Data (Windows 2000、XP 和 Server 2003)。)
自启动技术
它将自己的下列副本复制到Windows自启动文件夹,在系统每次启动时自动执行。
- %User Startup%\start.bat -> used to execute dropped copy
(注意: %User Startup% 是当前用户的启动文件夹,通常位于 C:\Windows\Profiles\{user name}\Start Menu\Programs\Startup (Windows 98 和 ME)、C:\WINNT\Profiles\{user name}\Start Menu\Programs\Startup (Windows NT) 和 C:\Documents and Settings\{User name}\「开始」菜单\程序\启动。)
其他详细信息
它显示包含下列消息的弹出窗口:
解决方案
Step 1
对于Windows ME和XP用户,在扫描前,请确认已禁用系统还原功能,才可全面扫描计算机。
Step 3
确定和终止RANSOM_LOCKY.TIAOKAI检测到的文件
Step 4
搜索和删除这些文件
- %User Temp%\svchostaaexe.bat (Windows Vista or above)
- %System Root%\Users\Public\PUBLIC (Windows Vista or above)
- %System Root%\Users\Public\UNIQUE_ID_DO_NOT_REMOVE (Windows Vista or above)
- %Application Data%\svchostaaexe.bat (Windows XP or below)
- %System Root%\Documents and Settings\Default User\PUBLIC (Windows XP or below)
- %System Root%\Documents and Settings\Default User\UNIQUE_ID_DO_NOT_REMOVE (Windows XP or below)
- {Folder Containing Encrypted Files}\DECRYPT_INFORMATION.html
- %User Temp%\svchostaaexe.bat (Windows Vista or above)
- %System Root%\Users\Public\PUBLIC (Windows Vista or above)
- %System Root%\Users\Public\UNIQUE_ID_DO_NOT_REMOVE (Windows Vista or above)
- %Application Data%\svchostaaexe.bat (Windows XP or below)
- %System Root%\Documents and Settings\Default User\PUBLIC (Windows XP or below)
- %System Root%\Documents and Settings\Default User\UNIQUE_ID_DO_NOT_REMOVE (Windows XP or below)
- {Folder Containing Encrypted Files}\DECRYPT_INFORMATION.html
Step 5
使用趋势科技产品扫描计算机,并删除检测到的RANSOM_LOCKY.TIAOKAI文件 如果检测到的文件已被趋势科技产品清除、删除或隔离,则无需采取进一步措施。可以选择直接删除隔离的文件。请参阅知识库页面了解详细信息。