病毒通告:Ransom.Locky.B 木馬透過開啟電子郵件下載惡意程式進行感染,請勿開啟任何可疑的檔案並提高警覺!
2017/12/28
風險等級: 低度威脅
摘  要:

防毒軟體廠商近期發現Ransom.Locky.B病毒,被稱為Locky木馬,主要通過惡意網站、破解軟體、垃圾郵件、捆綁免費軟體和文件共享方式利用漏洞進行感染後加密受感染文件並要求付款來解密。

HiNet SOC 建議您勿瀏覽可疑或惡意網站以及開啟任何可疑的檔案或郵件,定期備份重要檔案,為應用軟體和作業系統安裝修補程式,將其更新至最新版本,與安裝防毒軟體且更新至最新病毒碼來降低受駭風險。

影響系統:
  • Windows
解決辦法:

若不慎已感染此病毒,建議處理方式如下:

1、刪除及修復登錄機碼與登錄項目
2、刪除可疑的檔案
3、請更新防毒軟體之病毒碼定義檔到最新
4、請利用防毒軟體進行全系統掃描
5、如果以上步驟仍無法順利清除病毒,建議您參考以下防毒廠商提供之步驟處理:
  • Symantec

  • 細節描述:

    若受感染木馬會創建以下文件:
    %SystemDrive%\Documents and Settings\All Users\Desktop\lukitus.bmp
    %SystemDrive%\Documents and Settings\All Users\Desktop\lukitus.htm

    第二步,新增下列登錄機碼與登錄項目:
    HKEY_CURRENT_USER \ Control Panel \ Desktop \“TileWallpaper”=“0”
    HKEY_CURRENT_USER \ Control Panel \ Desktop \“Wallpaper”=“lukitus.bmp”

    第三步,該木馬會創建以下威脅行為:
    Local\Ea5aGaCaBa1aDaEaGa9a4aDa9a3a5aEa
    Global\Ea5aGaCaBa1aDaEaGa9a4aDa9a3a5aEa
    Global\3aEa4aBaBa6a:a:aCaDa9aFaCa9a4aEa
    Local\3aEa4aBaBa6a:a:aCaDa9aFaCa9a4aEa

    最後,該木馬會自行遠端連線至下列惡意網站:
    http://192.162.[REMOVED].213/imageload.cgi
    http://185.17.[REMOVED].130/imageload.cgi
    http://46.17.[REMOVED].153/imageload.cgi
    http://46.183.[REMOVED].45/imageload.cgi
    http://5.196.[REMOVED].239/imageload.cgi
    http://5.188.[REMOVED].30/imageload.cgi

    檔案感染類型:
    .7zip
    .SQLITE3
    .SQLITEDB
    .accdb
    .accde
    .accdr
    .accdt
    .agdl
    .aiff
    .aspx
    .asset
    .asset
    .back
    .backup
    .backupdb
    .bank
    .blend
    .cdr3
    .cdr4
    .cdr5
    .cdr6
    .cdrw
    .class
    .class
    .config
    .contact
    .craw
    .d3dbsp
    .db_journal
    .ddoc
    .ddrw
    .design
    .djvu
    .djvu
    .docb
    .docm
    .docm
    .docx
    .docx
    .dotm
    .dotm
    .dotx
    .dotx
    .erbsql
    .flac
    .flvv
    .forge
    .gray
    .grey
    .groups
    .html
    .ibank
    .incpas
    .indd
    .java
    .java
    .jpeg
    .jpeg
    .kdbx
    .kpdx
    .laccdb
    .lay6
    .litemod
    .litesql
    .m2ts
    .mapimail
    .moneywell
    .mpeg
    .mpeg
    .ms11
    .nvram
    .onetoc2
    .pages
    .plus_muhd
    .potm
    .potm
    .potx
    .potx
    .ppam
    .ppam
    .ppsm
    .ppsm
    .ppsm
    .ppsx
    .ppsx
    .pptm
    .pptm
    .pptm
    .pptx
    .pptx
    .psafe3
    .pspimage
    .qcow
    .qcow2
    .qcow2
    .s3db
    .safe
    .sas7bdat
    .save
    .sldm
    .sldm
    .sldx
    .sldx
    .sqlite
    .sqlite3
    .sqlitedb
    .tar.bz2
    .tiff
    .vbox
    .vhdx
    .vmdk
    .vmdk
    .vmsd
    .vmxf
    .wallet
    .wallet
    .wallet.dat
    .xlam
    .xlsb
    .xlsb
    .xlsm
    .xlsm
    .xlsx
    .xlsx
    .xltm
    .xltm
    .xltx
    .xltx
    .ycbcra

    木馬使用以下方式重命名加密文件:
    [8 RANDOM CHARACTERS]-[4 RANDOM CHARACTERS]-[4 RANDOM CHARACTERS]-[8 RANDOM CHARACTERS]-[12 RANDOM CHARACTERS].lukitus

    HiNet SOC 建議您勿瀏覽可疑或惡意網站以及開啟任何可疑的檔案或郵件,定期備份重要檔案,為應用軟體和作業系統安裝修補程式,將其更新至最新版本,與安裝防毒軟體且更新至最新病毒碼來降低受駭風險。

    參考資訊: Symantec (2017/12/27)
    Symantec Ransom.Locky.B (2017/09/26)