Ransom.Win32.SPOOSH.THGAGBC勒索軟體以其他惡意軟體丟棄的文件或用戶在訪問惡意網站時無意中下載的文件的形式到達系統

風險等級: 低度威脅
摘 要: 病毒通告:
Ransom.Win32.SPOOSH.THGAGBC勒索軟體以其他惡意軟體丟棄的文件或用戶在訪問惡意網站時無意中下載的文件的形式到達系統,加密勒索軟體猖獗,請加強系統/應用程式更新與資料備份作業
解決辦法: 若不慎已感染此病毒,建議處理方式如下:
1.在進行任何掃描之前,Windows 7、Windows 8、Windows 8.1 和 Windows 10 用戶必須禁用系統還原以允許對其電腦進行全面掃描。
2.在此惡意軟體/間諜軟體/灰色軟體執行期間,並非所有文件、文件夾以及登錄檔和條目都會安裝在您的電腦上。
這可能是由於安裝不完整或其他操作系統條件造成的。如果您沒有找到相同的文件/文件夾/登錄檔,請繼續執行下一步。
3.刪除登錄檔值錯誤地編輯Windows 登錄檔可能會導致不可逆轉的系統故障。僅當您知道如何操作或者可以向系統管理員尋求幫助時,才請執行此步驟。
在HKEY_CURRENT_USER\Printers\SettingsLow中
DI = {8 個隨機字母數字字符}
在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System

啟用鏈接連接 = 1
4.刪除該登錄檔項
在HKEY_CURRENT_USER\Printers中
設置低
5.搜索並刪除該文件
可能有一些文件被隱藏。請確保選中“更多高級選項”選項中的 搜索隱藏文件和文件夾複選框,以在搜索結果中包含所有隱藏文件和文件夾。
{加密目錄}\information.hta
%AppDataLocal%\wallpaper.jpg
6.掃描電腦,刪除檢測為 Ransom.Win32.SPOOSH.THGAGBC 的文件
7.從備份中恢復加密文件
8.如果以上步驟仍無法順利清除病毒,建議您參考以下防毒廠商提供之步驟處理:
Trendmicro
https://www.trendmicro.com/vinfo/us/threat-encyclopedia/malware/ransom.win32.spoosh.thgagbc
細節描述: 感染途徑:
1.從網際網路下載
2.被其他惡意軟體丟棄
它連接到某些網站以發送和接收信息、會以丟棄文件作為勒索信、避免加密具有以下文件副檔名的文件。1.設置方式
該勒索軟體添加了以下處理程序:
%System%\cmd.exe /C “vssadmin delete shadows /all /quiet”
%System%\cmd.exe /C “rd /s /q %systemdrive%\$Recycle.bin”
%System%\WindowsPowershell\v1.0\powershell.exe -Command
“New-ItemProperty -Path
\’HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\’
-Name EnableLinkedConnections -Value 1 -PropertyType \’DWord\'”
%System%\WindowsPowershell\v1.0\powershell.exe -Command “get-service LanmanWorkstation |Restart-Service –Force” attrib.exe -R {Directory to Encrypt}\{File Name to Encrypt}.{File Extension to Encrypt}
mshta.exe %System Root%\Boot\cs-CZ\information.hta

(注意:%System%是 Windows 系統文件夾,在所有 Windows 操作系統版本上通常為 C:\Windows\System32。
%System Root%是 Windows 根文件夾,在所有 Windows 上通常為 C:\操作系統版本。)

2.系統修改
該勒索軟體添加以下登錄檔:
HKEY_CURRENT_USER\Printers\SettingsLow
DI = {8 個隨機字母數字字符}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Policies\System
EnableLinkedConnections = 1

將系統的桌面壁紙設置為以下圖像:
%AppDataLocal%\wallpaper.jpg
(注:%AppDataLocal%是本地應用程序數據文件夾,在 Windows 2000(32 位)、XP 和 Server 2003(32
位)上通常為 C:\Documents and Settings\{用戶名}\Local Settings\Application
Data位),或Windows Vista、7、8、8.1、2008(64 位)、2012(64 位)和10(64
位)上的C:\Users\{用戶名}\AppData\Local。)

3.處理程序終止
如果發現該勒索軟體在受影響系統的內存中運行,則會終止以下處理程序:
Agntsvc.exe
Dbeng50.exe
Dbsnmp.exe
Encsvc.exe
Excel.exe
Firefox.exe
Infopath.exe
Isqlplussvc.exe
Msaccess.exe
Mspub.exe
Mydesktopqos.exe
Mydesktopservice.exe
Notepad.exe
Ocautoupds.exe
Ocomm.exe
Ocssd.exe
Onenote.exe
Oracle.exe
Outlook.exe
Powerpnt.exe
Sqbcoreservice.exe
Sql.exe
Steam.exe
Synctime.exe
Tbirdconfig.exe
Thebat.exe
Thunderbird.exe
Ut.exe
Utweb.exe
Visio.exe
Winword.exe
Wordpad.exe
Xfssvccon.exe

4.訊息盜竊
該勒索軟件收集以下數據:
處理器名稱
記憶體
內部IP地址
製造商
操作系統版本
計算機名稱
產品名稱
外部IP地址
設備ID

5.其他
該勒索軟體添加以下登錄檔:
HKEY_CURRENT_USER\Printers\SettingsLow
連接到以下網站來發送和接收信息:
tcp://{BLOCKED}.{BLOCKED}.154.137:21119
執行以下操作:
從以下網址下載要設置的桌面壁紙:
https://i.{BLOCKED}g.cc/JzpfvBFf/wallapaper.jpg
連接到以下 url 來識別機器的外部 IP 地址:
https://{BLOCKED}rnalip.com

該勒索軟體會避免加密以下文件夾中的文件:
$RECYCLE.BIN
$Recycle.Bin
$WINDOWS.~BT
$WINDOWS.~WS
$WinREAgent
$Windows.~WS
AdwCleaner
AppData
dev
Documents and Settings
Hyberfil
MSOCache
Pagefile
PerfLogs
Program Files
Program Files (x86)
ProgramData
Recovery
SYSTEM.SAV
System Volume Information
Thumbs
Thumbs.db
Windows.old
windows.old
Windows.old.000
windows.old.000

將以下擴展名附加到加密文件的文件名中:
[[{8 個隨機字母數字字符}]].[[{電子郵件地址}]].sophos

刪除文件作為勒索信:
{加密目錄}\information.hta
%系統根目錄%\Boot\cs-CZ\information.hta

避免加密具有以下文件副檔名的文件:
.adv
.ani
.bat
.com
.cpl
.cur
.deskthemepack
.Devos
.diagcab
.diagcfg
.diagpkg
.dll
.drv
.faust
.hlp
.hta
.icl
.icns
.ico
.ics
.idx
.inf
.ini
.joker
.key
.ldf
.lnk
.lock
.log
.mkp
.mod
.mpa
.msc
.msp
.msstyles
.msu
.nls
.nomedia
.ocx
.prf
.ps1
.regtrans-ms
.rom
.rtp
.scr
.shs
.sophos
.spl
.sys
.theme
.themepack
.tmp
.wpx

參考資訊: Trendmicro

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *