Ransom.Hybirdmy 木馬加密受感染電腦上的檔案,並要求支付贖金!

風險 等級: 低度威脅
摘   要:

防毒軟體廠商近期發現 Ransom.Hybirdmy 木馬加密受感染電腦上的檔案,並要求支付贖金。

影響 系統:
  • Windows
解決 辦法:

若不慎已感染此病毒,建議處理方式如下:

1、阻擋所有外部可疑連線
2、使用密碼將檔案加密
3、不要給予使用者與程式過高的權限來執行工作
4、取消自動撥放 (AutoPlay) 避免在網路上自動執行檔案
5、關閉藍芽與檔案分享功能,如需要則使用權限控管名單 (Access Control List) 或 密碼 (password) 來存取:
6、一旦有電腦被感染,立刻將其隔離
7、如果以上步驟仍無法順利清除病毒,建議您參考以下防毒廠商提供之步驟處理:
細節 描述:
  • 一旦執行,木馬會創建以下文件:
  • [路徑到文件] \ __ CryptTemp
  •  
  • 木馬會創建以下註冊表子項:
  • HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\SharedScripts\BIN_01
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft.NETFramework\SecurityFolders\UserPassword
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft.NETFramework\SecurityFolders\UserPassword
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft.NETFramework\SecurityFolders\UserAgent
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft.NETFramework\SecurityFolders\UserData
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft.NETFramework\SecurityFolders\v4.0.6012
  •  
  • 接下來,木馬會創建以下環境變量:
  • VS100WOW64MODE
    VS110WOW64MODE
  •  
  • 木馬會對受感染主機上的文件進行加密。

  • 加密或解密完成後,木馬會使用Internet Explorer訪問以下URL:
  • HTTP:// 10 [REMOVED] .2.247 / count02
  •  
  • 特洛伊木馬要求支付要解密的文件。
  •  

建議您勿瀏覽可疑或惡意網站以及開啟任何可疑的檔案或郵件,定期備份重要檔案,為應用軟體和作業系統安裝修補程式,將其更新至最新版 本,與安裝防毒軟體且更新至最新病毒碼來降低受駭風險。

參考 資訊: Symantec (2019/09/04)

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *