| 此勒索軟體以其他惡意軟體丟棄的檔案或用戶訪問惡意網址時,在不知不覺中以下載檔案的形式到達系統。
此勒索軟體會刪除以下檔案:
%ProgramData%\HLJkNskOq.ico
%ProgramData%\HLJkNskOq.bmp
(注意:%ProgramData%是 Program Files
文件夾的一個版本,多用戶計算機上的任何用戶都可以在其中更改程式。這包含所有用戶的應用程式數據。這通常是 Windows Vista 上的
C:\ProgramData、7、 8、8.1、2008(64 位)、2012(64 位)和 10(64 位)或 Windows Server 2003(32 位)、2000(32 位)上的 C:\Documents and Settings\All Users ) 和 XP。)
它添加了以下過程:
如果使用 -safe:
bcdedit /set {current} 安全啟動網絡
它將程式碼注入以下進程:
svchost.exe
自動啟動技術
該勒索軟體添加了以下登錄檔?項,以便在每次系統啟動時自動執行:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
*{random} = {惡意軟體路徑}\{惡意軟體名稱}
其他系統修改
此勒索軟體添加了以下登錄檔項:
HKEY_LOCAL_MACHINE\SOFTWARE\{附加勒索軟體擴展}
hScreen = {銀幕高度}
HKEY_LOCAL_MACHINE\SOFTWARE\{附加勒索軟體擴展}
wScreen = {銀幕寬度}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
AutoAdminLogon = 1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
DefaultUserName = 管理員
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
DefaultDomainName = {主機名}
它通過修改以下登錄檔項來更改桌面桌布:
HKEY_CURRENT_USER\Control Panel\Desktop
WallPaper = %ProgramData%\HLJkNskOq.bmp
HKEY_CURRENT_USER\Control Panel\Desktop
WallpaperStyle = 10
如果在受影響的系統上發現此勒索軟體,則會終止以下服務:
backup
GxBlr
GxCIMgr
GxCVD
GxFWD
GxVss
memtas
mepocs
msexchange
sophos
sql
svc$
veeam
vss
如果發現在受影響系統的內部記憶體中運行,它將終止以下程式:
agntsvc
dbeng50
dbsnmp
encsvc
excel
firefox
infopath
isqlplussvc
msaccess
mspub
mydesktopqos
mydesktopservice
notepad
ocautoupds
ocomm
ocssd
onenote
oracle
outlook
powerpnt
sqbcoreservice
sql
steam
synctime
tbirdconfig
thebat
thunderbird
visio
winword
wordpad
xfssvccon
它會刪除以下檔案作為贖金記錄:
{感染目錄}\HLJkNskOq.README.txt |