| 風險
等級: |
低度威脅 |
| 摘
要: |
防毒軟體廠商近期發現 Ransom.Buran 木馬程式對受感染電腦上的文件進行加密,並要求付款以對其進行解密。
|
| 影響
系統: |
|
| 解決
辦法: |
若不慎已感染此病毒,建議處理方式如下:
1、阻擋所有外部可疑連線
2、使用密碼將檔案加密
3、不要給予使用者與程式過高的權限來執行工作
4、取消自動撥放 (AutoPlay) 避免在網路上自動執行檔案
5、關閉藍芽與檔案分享功能,如需要則使用權限控管名單 (Access Control List) 或 密碼 (password) 來存取:
6、一旦有電腦被感染,立刻將其隔離
7、如果以上步驟仍無法順利清除病毒,建議您參考以下防毒廠商提供之步驟處理:
|
| 細節
描述: |
- 首先,木馬程式一旦執行,將創建以下文件::
- [PATH TO ENCRYPTED FILES]\!!! YOUR FILES ARE ENCRYPTED
!!!.TXT
- 木馬創建以下註冊表項,在每次Windows啟動時運行:
- HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \
CurrentVersion \ Run \“ ctfmon.exe” =“%UserProfile%\ Application Data \
Microsoft \ Windows \ ctfmon.exe”
- 該木馬還創建以下註冊表??項::
- 1、HKEY_CURRENT_USER\Software\Buran\”Knock” = %[HEXADECIMAL
VALUE]%
2、HKEY_CURRENT_USER\Software\Buran\Service\”Public” = %[DATA]%
3、HKEY_CURRENT_USER\Software\Buran\Service\”Private” = %[DATA]%
- 木馬連接到以下遠程位置:
- iplo[REMOVED]er.ru
iplo[REMOVED]er.org
- 接下來,木馬將自身複製到以下位置:
- %UserProfile%\Application Data\Microsoft\Windows\ctfmon.exe
- 最後,木馬會加密受感染電腦上的文件。
|
| 參考
資訊: |
symantec (2019/10/30) |