TROJ_RANSOM.HUN
Troj/KillProc-N (Sophos) ,Trojan:Win32/Twirlwind (Microsoft) ,Win32/LockScreen.BFK trojan (Eset) ,Trojan.Ransomcrypt (Symantec) ,Trojan.Win32.Generic!BT (Sunbelt)
Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)
恶意软件类型:
Trojan
有破坏性?:
没有
加密?:
是的
In the Wild:
是的
概要
如需此「間諜程式」的快速全面一覽,請參閱下面的「安全威脅圖表」。
技术详细信息
安装
它植入下列文件:
- %System Root%\w.bmp
(注意: %System Root% 是根文件夹,通常位于 C:\。它也是操作系统所在的位置。)
它植入下列文件/组件:
- %Windows%\system\cl32.dll
(注意: %Windows% 是 Windows 文件夹,通常位于 C:\WINDOWS 或 C:\WINNT。)
它在受感染的系统中植入下列自身副本:
- %Windows%\system\csrss.exe
(注意: %Windows% 是 Windows 文件夹,通常位于 C:\WINDOWS 或 C:\WINNT。)
它添加下列进程:
- iexplore.exe
    Launch http://szelvesz.2u.se/hun
自启动技术
它添加下列注册表项,在系统每次启动时自行执行:
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Run
MS = "{Malware Path}\{Malware Filename}.exe}"
其他系统修改
它添加下列注册表键值:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
cmd.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
command.com
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
dllhost.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
mbam.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
msconfig.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
regedit.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
rstrui.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
taskmgr.exe
进程终止
它终止在受感染的系统内存中运行的下列进程:
- taskmgr.exe
- msconfig.exe
- rundll32.exe
- cmd.exe
- mbam.exe
- rstrui.exe
其他详细信息
它使用下列扩展名加密文件:
- *.jpeg
- *.jpg
- *.doc
- *.png
- *.gif
- *.mp3
- *.mp4
- *.wav
- *.docx
- *.rtf
- *.txt
- *.pps
- *.ppt
- *.pptx
- *.m4a
- *.mid
- *.wmv
- *.wma
- *.mpg
- *.mov
- *.avi
- *.3gp
- *.psd
- *.xls
- *.xlxs
- *.html
- *.php
- *.zip
- *.rar
- *.bak
它要求下列现有的文件正常运行:
- {Malware Path}\CL32.dll
解决方案
Step 1
对于Windows ME和XP用户,在扫描前,请确认已禁用系统还原功能,才可全面扫描计算机。
Step 2
重启进入安全模式
Step 3
删除该注册表键值
注意事项:错误编辑Windows注册表会导致不可挽回的系统故障。只有在您掌握后或在系统管理员的帮助下才能完成这步。或者,请先阅读Microsoft文章,然后再修改计算机注册表。
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
- cmd.exe
- cmd.exe
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
- command.com
- command.com
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
- dllhost.exe
- dllhost.exe
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
- mbam.exe
- mbam.exe
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
- msconfig.exe
- msconfig.exe
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
- regedit.exe
- regedit.exe
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
- rstrui.exe
- rstrui.exe
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
- taskmgr.exe
- taskmgr.exe
Step 4
删除该注册表值
注意事项:错误编辑Windows注册表会导致不可挽回的系统故障。只有在您掌握后或在系统管理员的帮助下才能完成这步。或者,请先阅读Microsoft文章,然后再修改计算机注册表。
- In HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
- MS = "{Malware Path}\{Malware Filename}.exe}"
- MS = "{Malware Path}\{Malware Filename}.exe}"
Step 5
搜索和删除该文件
- %System Root%\w.bmp
Step 6
重启进入正常模式,使用亚信安全产品扫描计算机,检测TROJ_RANSOM.HUN文件 如果检测到的文件已被亚信安全产品清除、删除或隔离,则无需采取进一步措施。可以选择直接删除隔离的文件。请参阅知识库页面了解详细信息。