Ransom.Win32.HKITTY.C 勒索病毒

風險等級: 低度威脅
摘 要: 病毒通告:Ransom.Win32.HKITTY.C 勒索病毒
解決辦法: 1.在進行任何掃描之前,Windows 7、Windows 8、Windows 8.1 和 Windows 10 的用戶必須停用系統還原,以允許對其電腦進行完整掃描。
2.請注意,並非所有檔案、資料夾、註冊表鍵和條目都在此惡意軟體/間諜軟體/灰色軟體執行期間安裝到您的電腦上。這可能是因為安裝不完整或其他操作系統條件所致。如果您沒有找到相同的檔案/資料夾/註冊表信息,請繼續進行下一步。
3.搜尋並刪除這些檔案,可能有一些檔案是隱藏的。請確保您在「更多進階選項」中勾選「搜尋隱藏的檔案和資料夾」核取方塊,以將所有隱藏的檔案和資料夾包含在搜尋結果中。
細節描述: 這款勒索軟體會作為其他惡意軟體放置的檔案或是用戶在訪問惡意網站時不知不覺下載的檔案,進入系統。這款勒索軟體會執行以下操作:
清空回收桶
使用 WQL 刪除陰影副本
使用 Windows 重啟管理員 API 來關閉進程或關閉可能保持檔案開啟並阻止加密的 Windows 服務。

它接受以下參數:
-p | –path → 指定要加密的路徑
勒索軟體流程

這款勒索軟體會避免加密具有以下字串的檔案名稱:
unlock_info.txt
ntldr
ntdetect.
desktop.ini
autorun.inf
iconcache.db
bootsect.bak
boot.ini
bootfont
thumbs.db
licencse.txt
ntusers.

它會避免加密位於以下資料夾中的檔案:
windows
programdata
$recyclebin
all users
winnt
appdata
application data
local setting
boot

它會在加密檔案的檔名後附加以下擴展名:
.crypt

它會刪除以下文件作為勒索信:
{加密目錄}\unlock_info.txt
note_hku7x7qY6

它會避免加密具有以下檔案擴展名的檔案:
.sys
.exe
.dll
.ico
.iso
.cab
.cat
.msi
.chm

參考資訊: Trendmicro

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *