Ransom.Buran 木馬程式對受感染電腦上的文件進行加密,並要求付款以對其進行解密

風險 等級: 低度威脅
摘   要:

防毒軟體廠商近期發現 Ransom.Buran 木馬程式對受感染電腦上的文件進行加密,並要求付款以對其進行解密。

影響 系統:
  • Windows
解決 辦法:

若不慎已感染此病毒,建議處理方式如下:

1、阻擋所有外部可疑連線
2、使用密碼將檔案加密
3、不要給予使用者與程式過高的權限來執行工作
4、取消自動撥放 (AutoPlay) 避免在網路上自動執行檔案
5、關閉藍芽與檔案分享功能,如需要則使用權限控管名單 (Access Control List) 或 密碼 (password) 來存取:
6、一旦有電腦被感染,立刻將其隔離
7、如果以上步驟仍無法順利清除病毒,建議您參考以下防毒廠商提供之步驟處理:
細節 描述:
  • 首先,木馬程式一旦執行,將創建以下文件::

  • [PATH TO ENCRYPTED FILES]\!!! YOUR FILES ARE ENCRYPTED !!!.TXT
  •  
  • 木馬創建以下註冊表項,在每次Windows啟動時運行:

  • HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \“ ctfmon.exe” =“%UserProfile%\ Application Data \ Microsoft \ Windows \ ctfmon.exe”
  •  
  • 該木馬還創建以下註冊表??項::

  • 1、HKEY_CURRENT_USER\Software\Buran\”Knock” = %[HEXADECIMAL VALUE]%
    2、HKEY_CURRENT_USER\Software\Buran\Service\”Public” = %[DATA]%
    3、HKEY_CURRENT_USER\Software\Buran\Service\”Private” = %[DATA]%
  •  
  • 木馬連接到以下遠程位置:

  • iplo[REMOVED]er.ru
    iplo[REMOVED]er.org
  •  
  • 接下來,木馬將自身複製到以下位置:

  • %UserProfile%\Application Data\Microsoft\Windows\ctfmon.exe
  •  
  • 最後,木馬會加密受感染電腦上的文件。
參考 資訊: symantec (2019/10/30)