RANSOM_WALTRIX.C

2016年5月20日

分析者: Jennifer Gumban

Ransom:Win32/Exxroute (Microsoft), Win32/Filecoder.CryptProjectXXX.C trojan (NOD32)

平台:

Windows

总体风险等级:

潜在破坏:

潜在分布:

感染次数:

信息暴露:

恶意软件类型:
Trojan
有破坏性？:
没有
加密？:
是的
In the Wild:
是的

概要

感染途徑: 从互联网上下载

如需此「間諜程式」的快速全面一覽，請參閱下面的「安全威脅圖表」。

如果检测到自身在虚拟环境中运行，它将终止运行。

技术详细信息

文件大小: 311,296 bytes

报告日期: DLL

内存驻留: 是的

初始樣本接收日期: 2016年5月10日

Payload: 连接到 URL/Ip, 终止进程, 显示消息/消息框

安装

它植入下列文件/组件：

ProgramData\{unique ID}.key
ProgramData\Z - deleted afterwards. contains installation date of this malware
{folders containing encrypted files}\{unique ID}.bmp - image used as wallpaper
{folders containing encrypted files}\{unique ID}.html - ransom note
{folders containing encrypted files}\{unique ID}.txt - ransom note

where {unique ID} contains 12 hexadecimal characters

它添加下列进程：

copy of the legitimate rundll32.exe named as:
• %User Temp%\svchost.exe
executes svchost.exe {malware}.dll,MS11{number}

(注意: %User Temp% 是当前用户的 Temp 文件夹。通常位于 C:\Documents and Settings\{user name}\Local Settings\Temp (Windows 2000、XP 和 Server 2003)。)

它添加下列互斥条目，确保一次只会运行一个副本：

{first 5 characters from the unique ID}

自启动技术

它植入下列文件：

%User Startup%\{unique ID}.lnk

(注意: %User Startup% 是当前用户的启动文件夹，通常位于 C:\Windows\Profiles\{user name}\Start Menu\Programs\Startup (Windows 98 和 ME)、C:\WINNT\Profiles\{user name}\Start Menu\Programs\Startup (Windows NT) 和 C:\Documents and Settings\{User name}\「开始」菜单\程序\启动。)

其他系统修改

它修改下列注册表项：

HKEY_CURRENT_USER\Control Panel\Desktop
TileWallpaper = "0"

HKEY_CURRENT_USER\Control Panel\Desktop
Wallpaper = "{random}\{unique ID}.bmp"

其他详细信息

它使用下列扩展名加密文件：

.3DM
.3DS
.3G2
.3GP
.7Z
.ACCDB
.AES
.AI
.AIF
.APK
.APP
.ARC
.ASC
.ASF
.ASM
.ASP
.ASPX
.ASX
.AVI
.BMP
.BRD
.BZ2
.C
.CER
.CFG
.CFM
.CGI
.CGM
.CLASS
.CMD
.CPP
.CRT
.CS
.CSR
.CSS
.CSV
.CUE
.DB
.DBF
.DCH
.DCU
.DDS
.DIF
.DIP
.DJV
.DJVU
.DOC
.DOCB
.DOCM
.DOCX
.DOT
.DOTM
.DOTX
.DTD
.DWG
.DXF
.EML
.EPS
.FDB
.FLA
.FLV
.FRM
.GADGET
.GBK
.GBR
.GED
.GIF
.GPG
.GPX
.GZ
.H
.H
.HTM
.HTML
.HWP
.IBD
.IBOOKS
.IFF
.INDD
.JAR
.JAVA
.JKS
.JPG
.JS
.JSP
.KEY
.KML
.KMZ
.LAY
.LAY6
.LDF
.LUA
.M
.M3U
.M4A
.M4V
.MAX
.MDB
.MDF
.MFD
.MID
.MKV
.MML
.MOV
.MP3
.MP4
.MPA
.MPG
.MS11
.MSI
.MYD
.MYI
.NEF
.NOTE
.OBJ
.ODB
.ODG
.ODP
.ODS
.ODT
.OTG
.OTP
.OTS
.OTT
.P12
.PAGES
.PAQ
.PAS
.PCT
.PDB
.PDF
.PEM
.PHP
.PIF
.PL
.PLUGIN
.PNG
.POT
.POTM
.POTX
.PPAM
.PPS
.PPSM
.PPSX
.PPT
.PPTM
.PPTX
.PRF
.PRIV
.PRIVAT
.PS
.PSD
.PSPIMAGE
.PY
.QCOW2
.RA
.RAR
.RAW
.RM
.RSS
.RTF
.SCH
.SDF
.SH
.SITX
.SLDX
.SLK
.SLN
.SQL
.SQLITE
.SQLITE
.SRT
.STC
.STD
.STI
.STW
.SVG
.SWF
.SXC
.SXD
.SXI
.SXM
.SXW
.TAR
.TBK
.TEX
.TGA
.TGZ
.THM
.TIF
.TIFF
.TLB
.TMP
.TXT
.UOP
.UOT
.VB
.VBS
.VCF
.VCXPRO
.VDI
.VMDK
.VMX
.VOB
.WAV
.WKS
.WMA
.WMV
.WPD
.WPS
.WSF
.XCODEPROJ
.XHTML
.XLC
.XLM
.XLR
.XLS
.XLSB
.XLSM
.XLSX
.XLT
.XLTM
.XLTX
.XLW
.XML
.YUV
.ZIP
.ZIPX

它使用下列名称重命名加密文件：

{original file name.file extension}.crypt

如果检测到自身在虚拟环境中运行，它将终止运行。

解决方案

最小扫描引擎: 9.800

First VSAPI Pattern File: 12.518.04

VSAPI 第一样式发布日期: 2016年5月10日

VSAPI OPR样式版本: 12.519.00

VSAPI OPR样式发布日期: 2016年5月11日

Step 1

对于Windows ME和XP用户，在扫描前，请确认已禁用系统还原功能，才可全面扫描计算机。

Step 3

重启进入安全模式

[ 更多 ]

Step 4

恢复该修改的注册表值

[ 更多 ]

注意事项：错误编辑Windows注册表会导致不可挽回的系统故障。只有在您掌握后或在系统管理员的帮助下才能完成这步。或者，请先阅读Microsoft文章，然后再修改计算机注册表。

In HKEY_CURRENT_USER\Control Panel\Desktop
- Wallpaper = "{random}\{unique ID}.bmp"
In HKEY_CURRENT_USER\Control Panel\Desktop
- TileWallpaper = "0"

Step 5

搜索和删除该文件

[ 更多 ]

有些组件文件可能是隐藏的。请确认在高级选项中已选中搜索隐藏文件和文件夹复选框，使查找结果包括所有隐藏文件和文件夹。

ProgramData\{unique ID}.key
%User Startup%\{unique ID}.lnk
{folders containing encrypted files}\{unique ID}.bmp
{folders containing encrypted files}\{unique ID}.html
{folders containing encrypted files}\{unique ID}.txt

Step 6

重启进入正常模式，使用亚信安全产品扫描计算机，检测RANSOM_WALTRIX.C文件如果检测到的文件已被亚信安全产品清除、删除或隔离，则无需采取进一步措施。可以选择直接删除隔离的文件。请参阅知识库页面了解详细信息。