分析者: Rhena Inocencio   
 :

Win32/Filecoder.NGB (ESET), Trojan.Cryptolocker.N (Symantec)

 平台:

Windows

 总体风险等级:
 潜在破坏:
 潜在分布:
 感染次数:
 信息暴露:

  • 恶意软件类型:
    Trojan

  • 有破坏性?:
    没有

  • 加密?:
    是的

  • In the Wild:
    是的

  概要

感染途徑: 从互联网上下载

它以其他恶意软件释放的文件或用户访问恶意网站时不知不觉下载的文件的形式到达系统。它开始执行然后再删除。

  技术详细信息

文件大小: 235,008 bytes
报告日期: EXE
内存驻留: 是的
初始樣本接收日期: 2016年3月21日
Payload: 修改文件

安装

它植入下列文件:

  • %User Temp%\{random filename}.cab - archive containing the RTF document
  • %User Temp%\{malware filename}.rtf - non-malicious document
  • {folders containing encrypted files}\_DECRYPT_INFO_{extension name}.html - ransom note
  • %User Temp%\{extension name}.gif - Maktub Locker logo

(注意: %User Temp% 是当前用户的 Temp 文件夹。通常位于 C:\Documents and Settings\{user name}\Local Settings\Temp (Windows 2000、XP 和 Server 2003)。)

其他系统修改

它修改下列文件:

  • It encrypts files and appends a random extension to the encrypted files

其他详细信息

它使用下列扩展名加密文件:

  • apk
  • arch00
  • arw
  • asset
  • avi
  • bar
  • bay
  • bc6
  • bc7
  • big
  • bik
  • bkf
  • bkp
  • blf
  • blob
  • bsa
  • bup
  • cab
  • cas
  • cat
  • cdf-ms
  • cdr
  • cer
  • cfr
  • chm
  • com
  • cpl
  • cr2
  • crt
  • crw
  • css
  • csv
  • cur
  • d3dbsp
  • das
  • dat
  • dayzprofile
  • dazip
  • db0
  • dba
  • dbf
  • dbfv
  • dcr
  • der
  • desc
  • dll
  • dmp
  • dng
  • doc
  • docm
  • docx
  • dot
  • dotx
  • drv
  • dwg
  • dxf
  • dxg
  • epk
  • eps
  • erf
  • esm
  • exe
  • exif
  • ff
  • flv
  • fon
  • forge
  • fos
  • fpk
  • fsh
  • gdb
  • gho
  • gif
  • gpd
  • hkdb
  • hkx
  • hlp
  • hplg
  • htm
  • html
  • hvpl
  • ibank
  • ico
  • icxs
  • idl
  • ifo
  • indd
  • inf
  • inf_loc
  • ini
  • itdb
  • itl
  • itm
  • iwd
  • iwi
  • jfif
  • jpe
  • jpeg
  • jpg
  • js
  • kdb
  • kdc
  • kf
  • layout
  • lbf
  • lck
  • lib
  • litemod
  • lnk
  • log
  • log1
  • log2
  • lrf
  • ltx
  • lvl
  • m2
  • m3u
  • m4a
  • man
  • manifest
  • map
  • mcgame
  • mcmeta
  • mdb
  • mdbackup
  • mddata
  • mdf
  • mef
  • menu
  • mht
  • mlwivc
  • mlx
  • mof
  • mov
  • mp4
  • mpg
  • mpp
  • mpqge
  • mrw
  • mrwref
  • msg
  • msi
  • msp
  • mui
  • mum
  • ncf
  • nef
  • nlp
  • nls
  • nrw
  • ntl
  • ocx
  • odb
  • odc
  • odm
  • odp
  • ods
  • odt
  • orf
  • p12
  • p7b
  • p7c
  • pak
  • pdb
  • pdd
  • pdf
  • pef
  • pem
  • pfx
  • pgp
  • pkpass
  • pnf
  • png
  • ppd
  • ppsx
  • ppt
  • pptm
  • pptx
  • psd
  • psk
  • pst
  • ptx
  • py
  • qdf
  • qic
  • r3d
  • raf
  • raw
  • rb
  • rdp
  • re4
  • regtrans-ms
  • resx
  • rgss3a
  • rim
  • rofl
  • rtf
  • rw2
  • rwl
  • sav
  • sb
  • sc2save
  • scr
  • shs
  • sid
  • sidd
  • sidn
  • sie
  • sis
  • slm
  • snx
  • so
  • sql
  • sr2
  • srf
  • srw
  • sum
  • svg
  • swf
  • syncdb
  • sys
  • t12
  • t13
  • tax
  • tc
  • thm
  • thmx
  • tif
  • tor
  • ttf
  • txt
  • unity3d
  • upk
  • vcf
  • vdf
  • vfs0
  • vob
  • vpk
  • vpp_pc
  • vsd
  • vtf
  • w3x
  • wallet
  • wav
  • wb2
  • wma
  • wmf
  • wmo
  • wmv
  • wotreplay
  • wpd
  • wps
  • x3f
  • xdr
  • xf
  • xlk
  • xls
  • xlsb
  • xlsm
  • xlsx
  • xml
  • xrm-ms
  • xsd
  • xxx
  • ztmp

  解决方案

最小扫描引擎: 9.800
First VSAPI Pattern File: 12.416.07
VSAPI 第一样式发布日期: 2016年3月21日
VSAPI OPR样式版本: 12.417.00
VSAPI OPR样式发布日期: 2016年3月22日

Step 1

对于Windows ME和XP用户,在扫描前,请确认已禁用系统还原功能,才可全面扫描计算机。

Step 3

确定和终止RANSOM_MAKTUB.A检测到的文件

[ 更多 ]
  1. 对于Windows 98和ME用户,Windows任务管理器可能不显示所有运行进程。在此情况下,请使用第三方进程查看程序(推荐Process Explorer)终止恶意软件/灰色软件/间谍软件文件。您可以从下载上述工具。
  2. 如果检测到的文件出现在Windows任务管理器或Process Explorer中但不能删除,请重启计算机进入安全模式。请参阅该链接了解完整步骤。
  3. 如果检测到的文件在Windows任务管理器或Process Explorer中出现,请继续下列步骤。

Step 4

搜索和删除该文件

[ 更多 ]
有些组件文件可能是隐藏的。请确认在高级选项中已选中搜索隐藏文件和文件夹复选框,使查找结果包括所有隐藏文件和文件夹。
  • %User Temp%\{random filename}.cab
  • %User Temp%\{malware filename}.rtf
  • %User Temp%\{extension name}.gif
  • {folders containing encrypted files}\_DECRYPT_INFO_{extension name}.html

Step 5

使用亚信安全产品扫描计算机,并删除检测到的RANSOM_MAKTUB.A文件 如果检测到的文件已被亚信安全产品清除、删除或隔离,则无需采取进一步措施。可以选择直接删除隔离的文件。请参阅知识库页面了解详细信息。