TROJ_CRYPCTB.SME

2015年1月21日

分析者: Michael John Marcos

修改者: : Homer Pacag

平台:

Windows

总体风险等级:

潜在破坏:

潜在分布:

感染次数:

信息暴露:

恶意软件类型:
Trojan
有破坏性？:
没有
加密？:
是的
In the Wild:
是的

概要

感染途徑: 从互联网上下载，或由其他恶意软件释放。

如需此「間諜程式」的快速全面一覽，請參閱下面的「安全威脅圖表」。

它连接到某个网站，发送和接收信息。

技术详细信息

文件大小: 704,512 bytes

报告日期: EXE

内存驻留: 是的

初始樣本接收日期: 2015年1月19日

Payload: 连接到 URL/Ip

安装

它植入下列文件：

%System Root%\{randomly selected path}\Decrypt All Files {random characters}.txt - copy of the ransom note
%System Root%\{randomly selected path}\Decrypt All Files {random characters}.bmp - copy of the .bmp file
%User Profile%\My Documents\Decrypt All Files {random characters}.bmp - image used as wallpaper
%User Profile%\My Documents\Decrypt All Files {random characters}.txt - ransom note in text file
%All Users Profile%\Application Data\{random characters}.html - contains ransom note and list of encrypted files

(注意： %System Root% 是根文件夹，通常位于 C:\。它也是操作系统所在的位置。. %User Profile% 是当前用户的概要文件文件夹，通常位于 C:\Windows\Profiles\{user name} (Windows 98 和 ME)、C:\WINNT\Profiles\{user name} (Windows NT) 和 C:\Documents and Settings\{user name} (Windows 2000、XP 和 Server 2003)。)

它在受感染的系统中植入下列自身副本：

%User Temp%\{random filename}.exe

(注意: %User Temp% 是当前用户的 Temp 文件夹。通常位于 C:\Documents and Settings\{user name}\Local Settings\Temp (Windows 2000、XP 和 Server 2003)。)

它将自身注入到在受感染的系统内存中运行的下列进程：

svchost.exe
explorer.exe

它创建下列文件夹：

%All Users Profile%\Application Data\{randomly selected path}\{random characters}

自启动技术

它植入下列文件：

C:\Windows\Tasks\{random filename}.job

其他系统修改

它修改下列注册表项：

HKEY_CURRENT_USER\Control Panel\Desktop
Wallpaper = "%User Profile%\My Documents\Decrypt All Files {random characters}.bmp"

(Note: The default value data of the said registry entry is {user-defined}.)

HKEY_CURRENT_USER\Control Panel\Desktop
TileWallpaper = 0

其他详细信息

它连接到下列网站，发送和接收信息：

{BLOCKED}jrzduo52siy.onion.cab
{BLOCKED}jrzduo52siy.tor2web.org
{BLOCKED}jrzduo52siy.onion.gq
{BLOCKED}jrzduo52siy.tor2web.fi
{BLOCKED}jrzduo52siy.onion.lt
{BLOCKED}jrzduo52siy.tor2web.blutmagie.de

它使用下列扩展名加密文件：

3fr
7z
acc
ai
arw
bas
bay
bl
c
cdr
cer
cpp
cr2
crt
crw
cs
db
dbf
dcr
dd
dds
der
dng
doc
docm
docx
dwg
dxf
dxg
end
eps
erf
groups
indd
jpe
jpeg
jpg
js
kdc
kwm
md
mdb
mdf
mef
mrw
nef
nrw
odb
odm
odp
ods
odt
orf
p12
p7b
p7c
pas
pdd
pdf
pef
pem
pfx
php
pl
ppt
pptm
pptx
psd
pst
ptx
pwm
py
r3d
raf
rar
raw
rtf
rw2
rwl
safe
sql
srf
srw
txt
vsd
wb2
wpd
wps
xlk
xls
xlsb
xlsm
xlsx
zip
blend
dbx
gdb
bsdr
bsdu
bdcr
bdcu
bpdr
bpdu
ims
bds
bdd
bdp
gsf
gsd
iss
arp
rik
fdb
abu
fig
con
rgx

解决方案

最小扫描引擎: 9.700

First VSAPI Pattern File: 11.427.00

VSAPI 第一样式发布日期: 2015年1月21日

VSAPI OPR样式版本: 11.428.00

VSAPI OPR样式发布日期: 2015年1月21日

Step 1

对于Windows ME和XP用户，在扫描前，请确认已禁用系统还原功能，才可全面扫描计算机。

Step 3

使用亚信安全产品扫描计算机，记录检测为TROJ_CRYPCTB.SME的文件

Step 4

重启进入安全模式

[ 更多 ]

Step 5

搜索和删除该文件

[ 更多 ]

有些组件文件可能是隐藏的。请确认在高级选项中已选中搜索隐藏文件和文件夹复选框，使查找结果包括所有隐藏文件和文件夹。

%User Profile%\My Documents\Decrypt All Files {random characters}.bmp
%User Profile%\My Documents\Decrypt All Files {random characters}.txt
%User Profile%\My Documents\{random characters}.html
%Windows%\Tasks\{random filename}.job
%System Root%\{randomly selected path}\Decrypt All Files {random characters}.txt
%System Root%\{randomly selected path}\Decrypt All Files {random characters}.bmp

Step 6

恢复该修改的注册表值

[ 更多 ]

注意事项：错误编辑Windows注册表会导致不可挽回的系统故障。只有在您掌握后或在系统管理员的帮助下才能完成这步。或者，请先阅读Microsoft文章，然后再修改计算机注册表。

In HKEY_CURRENT_USER\Control Panel\Desktop
- From: Wallpaper = "%User Profile%\My Documents\Decrypt All Files {random characters}.bmp"
  To: Wallpaper = "{user-defined}"

Step 7

重启进入正常模式，使用亚信安全产品扫描计算机，检测TROJ_CRYPCTB.SME文件如果检测到的文件已被亚信安全产品清除、删除或隔离，则无需采取进一步措施。可以选择直接删除隔离的文件。请参阅知识库页面了解详细信息。