| 風險等級: | 高度威脅 |
| 摘 要: | 病毒通告: Ransom.MSIL.EGOGEN.THEBBBC 勒索病毒 |
| 解決辦法: | 1.在進行任何掃描之前,Windows 7、Windows 8、Windows 8.1 和 Windows 10用戶必須禁用系統還原以允許對其計算機進行全面掃描。 2.請注意,在此惡意軟體/間諜軟體/灰色軟體執行期間,並非所有檔案、文件夾、登錄檔和條目都安裝在您的電腦上。這可能是由於安裝不完整或其他操作系統條件造成的。如果您沒有找到相同的檔案/文件夾/登錄檔,請繼續下一步。 3.刪除以下登錄檔可能有一些文件是隱藏的。請確保選中“更多高級選項”選項中的“ 搜索隱藏文件和文件夾”複選框,以在搜索結果中包含所有隱藏文件和文件夾。 In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run 1 = %User Startup%\1.exe In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run archive = %User Startup%\archive.exe In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run Xarch = %User Startup%\Xarch.exe In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run discord = %AppDataLocal%\discord.exe In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run teleratserver = %User Startup%\teleratserver.exe In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run BXIuSsB = %User Startup%\BXIuSsB.exe In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce BXIuSsB.exe = %User Temp%\Adobe\BXIuSsB.exe In HKEY_CURRENT_USER\Control Panel\Desktop Wallpaper = %User Profile%\Pictures\image[Random 30 characters].jpg In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System DisableTaskMgr = 1 4.搜索並刪除以下檔案 %User Startup%\1.exe %User Startup%\archive.exe %User Startup%\Xarch.exe %User Startup%\teleratserver.exe %AppDataLocal%\discord.exe %Application Data%\ID %Application Data%\fondo_antiguo.jpg %User Profile%\Pictures\image[Random 30 characters].jpg %User Startup%\BXIuSsB.exe %User Temp%\Adobe\BXIuSsB.exe %User Temp%\[Random 7 characters]_dat.log %Application Data%\delback.bat %User Startup%\update.bat 5.搜索並刪除以下檔案 %User Temp%\Adobe |
| 細節描述: | 此勒索軟體作為其他惡意軟體丟棄的檔案或作為用戶在訪問惡意網站時無意中下載到系統的檔案。 它會添加某些登錄檔以禁用工作管理員。可防止用戶停止惡意軟體運作,如果它檢測到它正在虛擬機中運行,它就會自行終止運作。 它會以丟棄檔案做為勒索點,並會避免加密具有副檔名的檔案。 此勒索軟體會投放以下文件: 它會刪除並執行以下文件: 它會添加以下過程: 它會創建以下文件夾: |
| 參考資訊: | Trendmicro |