| 風險等級: |
中度威脅 |
| 摘 要: |
病毒通告:Ransom.Win64.CICADA.YXEHE 勒索病毒 |
| 解決辦法: |
步驟1
在進行任何掃描之前,Windows 7、Windows 8、Windows 8.1 和 Windows 10 使用者必須停用系統還原以允許對其電腦進行完整掃描。
步驟2
以安全模式重新啟動
步驟3
請注意,在此惡意軟體/間諜軟體/灰色軟體執行期間,並非所有檔案、資料夾以及登錄項目和條目都會安裝在您的電腦上。這可能是由於安裝不完整或其他作業系統條件造成的。如果您沒有找到相同的文件/資料夾/暫存表訊息,請繼續執行下一步。
步驟4
搜尋並刪除這些文件
DROP
%Public%\psexec0.exe
%Public%\{Malware File Name}
%Public%\{10 Random Characters}.bat
{Encrypted Directory}\RECOVER-jtu5s6r-DATA.txt |
| 細節描述: |
Ransom.Win64.CICADA.YXEHE為一種勒索軟體,該勒索軟體以其他惡意軟體丟棄的檔案或使用者在造訪惡意網站時以無意中下載檔案的形式入侵系統。
該勒索軟體會釋放以下檔案:
1.%Public%\psexec0.exe
2.%Public%\{惡意軟體檔案名稱} → 自行複製
3.%Public%\{10個隨機字元}.bat → 隨後刪除
該勒索軟體添加了以下程序:
1.cmd /C %Public%\{10 Random Characters}.bat
2.cmd /C fsutil behavior set SymlinkEvaluation R2L:1
3.cmd /C fsutil behavior set SymlinkEvaluation R2R:1
4.cmd /C iisreset.exe /stop
5.cmd /C vssadmin.exe Delete Shadows /all /quiet
6.cmd /C wmic.exe Shadowcopy Delete
7.cmd /C bcdedit /set {default}
8.cmd /C bcdedit /set {default} recoveryenabled No
9.cmd /C “for /F \'tokens=*\' %1 in (\'wevtutil.exe el\') DO wevtutil.exe cl %1”
10.cmd /C reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters /v MaxMpxCt /d 65535 /t REG_DWORD /f
11.cmd /C sc stop {service}
12.cmd /C taskkill /IM {process}* /F
若在受感染的主機系統上有此勒索軟體,則會造成以下服務終止:
1.via net stop /y:
2.WSearch
3.MSExchangeIS
4.MSExchangeSA
5.MSExchangeADTopology
6.wuauserv
7.eventlog
8.MSSQLSERVER
9.SQLSERVERAGENT
10.SQLBrowser
11.MSSQLServerOLAPService
12.ReportServer
13.MsDtsServer
14.SQLWriter
如果在受感染的系統記憶體中發現正在執行的以下程序,就會進行終止:
1.via taskkill /F /IM:
2.agntsvc
3.dbeng50
4.dbsnmp
5.encsvc
6.excel
7.firefox
8.infopath
9.isqlplussvc
10.msaccess
11.mspub
12.mydesktopq
13.mydesktopservic
14.notepad
15.ocautoupds
16.ocomm
17.ocssd
18.onenote
19.oracle
20.outlook
21.powerpnt
22.sqbcoreservic
23.steam
24.synctime
25.tbirdconfig
26.thebat
27.thunderbird
28.visio
29.winword
30.wordpad
31.xfssvccon
32.*sql*
33.bedbh
34.vxmon
35.benetns
36.bengien
37.pvlsvr
38.beserver
39.raw_agent_svc
40.vsnapvss
41.CagService
42.QBCFMonitorSe
43.TeamViewer_Service
44.TeamViewertv_w32
45.tv_x64
46.CVMountd
46.cvd
47.cvfwd
48.CVODS
49.saphostexe
50.saposcol
51.sapstartsrv
52.avagent
53.avscc
54.DellSystem
55.EnterpriseClient
56.VeeamNFSSVc
57.VeeamTransportSvc
58.VeeamDeploymentSvc
此勒索軟體會避開加密檔案路徑中包含以下字串的檔案:
1.\$Windows.~WS
2.\$windows.~ws
3.\$WINDOWS.~WS
4.\$windows.~bt
5.\$Windows.~BT
6.\$WINDOWS.~BT
7.\Windows.old
8.\NTUSER.DAT
9.\ntuser.dat
10.\autorun.inf
11.\boot.ini
12.\desktop.ini
13.\system volume information
14.\Boot
15.\DumpStack.log.tmp
16.\PerfLogs
17.\Users\
18.\Microsoft_Corporation\
19.\AppData\Local\Microsoft\GameDVR
20.\AppData\Local\Packages\Microsoft
21.\AppData\
該勒索軟體會將下面的副檔名附加到加密檔案的檔案名稱:
1.{Original file name}.{Original extension}.tu5s6r
該勒索軟體會刪除下面的文件做為勒索信:
1.{Encrypted Directory}\RECOVER-jtu5s6r-DATA.txt
該勒索軟體會避開加密具有以下副檔名的檔案:
1. .exe
2. .EXE
3. .DLL
4. .ini
5. .inf
6. .pol
7. .cmd
8. .ps1
9. .vbs
10. .bat
11. .pagefile.sys
12. .hiberfil.sys
13. .drv
14. .msc
15. .dll
16. .lock
17. .sys
18. .msu
19. .lnk
20. .search-ms
21. .config
HiNet SOC 建議使用者不定期更新病毒碼,以降低受駭風險。
https://hisecure.hinet.net/secureinfo/hotnews.php |
| 參考資訊: |
trendmicro
|
| |
