Ransom.Win32.LOCKBIT.YXCGD 勒索軟體利用用戶存取惡意網站時的檔案下載形式進入系統,加密勒索軟體猖獗,請加強系統/應用程式更新與資料備份作業!

風險等級: 低度威脅
摘要: 病毒通告:
Ransom.Win32.LOCKBIT.YXCGD 勒索軟體利用用戶存取惡意網站時的檔案下載形式進入系統,加密勒索軟體猖獗,請加強系統/應用程式更新與資料備份作業!
解決辦法: 若不慎已感染此病毒,建議處理方式如下:
1、阻擋所有外部可疑連線
2、使用密碼將檔案加密
3、不要給予使用者與程式過高的權限來執行工作
4、取消自動撥放 (AutoPlay) 避免在網路上自動執行檔案
5、關閉藍芽與檔案分享功能,如需要則使用權限控管名單 (Access Control List) 或 密碼 (password) 來存取:
6、一旦有電腦被感染,立刻將其隔離
7、如果以上步驟仍無法順利清除病毒,建議您參考以下防毒廠商提供之步驟處理:
https://www.trendmicro.com/vinfo/us/threat-encyclopedia/malware/ransom.win32.lockbit.yxcgd
細節描述: 此勒索軟體以其他惡意軟體丟棄的檔案或用戶訪問惡意網址時,在不知不覺中以下載檔案的形式到達系統。

此勒索軟體會刪除以下檔案:

%ProgramData%\HLJkNskOq.ico
%ProgramData%\HLJkNskOq.bmp
(注意:%ProgramData%是 Program Files
文件夾的一個版本,多用戶計算機上的任何用戶都可以在其中更改程式。這包含所有用戶的應用程式數據。這通常是 Windows Vista 上的
C:\ProgramData、7、 8、8.1、2008(64 位)、2012(64 位)和 10(64 位)或 Windows Server 2003(32 位)、2000(32 位)上的 C:\Documents and Settings\All Users ) 和 XP。)

它添加了以下過程:

如果使用 -safe:
bcdedit /set {current} 安全啟動網絡
它將程式碼注入以下進程:

svchost.exe
自動啟動技術

該勒索軟體添加了以下登錄檔?項,以便在每次系統啟動時自動執行:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
*{random} = {惡意軟體路徑}\{惡意軟體名稱}

其他系統修改
此勒索軟體添加了以下登錄檔項:
HKEY_LOCAL_MACHINE\SOFTWARE\{附加勒索軟體擴展}
hScreen = {銀幕高度}
HKEY_LOCAL_MACHINE\SOFTWARE\{附加勒索軟體擴展}
wScreen = {銀幕寬度}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
AutoAdminLogon = 1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
DefaultUserName = 管理員
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
DefaultDomainName = {主機名}

它通過修改以下登錄檔項來更改桌面桌布:
HKEY_CURRENT_USER\Control Panel\Desktop
WallPaper = %ProgramData%\HLJkNskOq.bmp
HKEY_CURRENT_USER\Control Panel\Desktop
WallpaperStyle = 10

如果在受影響的系統上發現此勒索軟體,則會終止以下服務:
backup
GxBlr
GxCIMgr
GxCVD
GxFWD
GxVss
memtas
mepocs
msexchange
sophos
sql
svc$
veeam
vss

如果發現在受影響系統的內部記憶體中運行,它將終止以下程式:
agntsvc
dbeng50
dbsnmp
encsvc
excel
firefox
infopath
isqlplussvc
msaccess
mspub
mydesktopqos
mydesktopservice
notepad
ocautoupds
ocomm
ocssd
onenote
oracle
outlook
powerpnt
sqbcoreservice
sql
steam
synctime
tbirdconfig
thebat
thunderbird
visio
winword
wordpad
xfssvccon

它會刪除以下檔案作為贖金記錄:
{感染目錄}\HLJkNskOq.README.txt

參考資訊: Trend Micro