風險等級: |
低度威脅 |
摘 要: |
病毒通告:Ransom.Win32.LOCKBIT.YXCGD 勒索軟體利用用戶存取惡意網站時的檔案下載形式進入系統,加密勒索軟體猖獗,請加強系統/應用程式更新與資料備份作業! |
解決辦法: |
若不慎已感染此病毒,建議處理方式如下:
1、阻擋所有外部可疑連線
2、使用密碼將檔案加密
3、不要給予使用者與程式過高的權限來執行工作
4、取消自動撥放 (AutoPlay) 避免在網路上自動執行檔案
5、關閉藍芽與檔案分享功能,如需要則使用權限控管名單 (Access Control List) 或 密碼 (password) 來存取:
6、一旦有電腦被感染,立刻將其隔離
7、如果以上步驟仍無法順利清除病毒,建議您參考以下防毒廠商提供之步驟處理:
https://www.trendmicro.com/vinfo/us/threat-encyclopedia/malware/ransom.win32.lockbit.yxcgd |
細節描述: |
此勒索軟體以其他惡意軟體丟棄的檔案或用戶訪問惡意網址時,在不知不覺中以下載檔案的形式到達系統。
此勒索軟體會刪除以下檔案:
%ProgramData%\HLJkNskOq.ico %ProgramData%\HLJkNskOq.bmp (注意:%ProgramData%是 Program Files 文件夾的一個版本,多用戶計算機上的任何用戶都可以在其中更改程式。這包含所有用戶的應用程式數據。這通常是 Windows Vista 上的 C:\ProgramData、7、 8、8.1、2008(64 位)、2012(64 位)和 10(64 位)或 Windows Server 2003(32 位)、2000(32 位)上的 C:\Documents and Settings\All Users ) 和 XP。)
它添加了以下過程:
如果使用 -safe: bcdedit /set {current} 安全啟動網絡 它將程式碼注入以下進程:
svchost.exe 自動啟動技術
該勒索軟體添加了以下登錄檔?項,以便在每次系統啟動時自動執行:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\RunOnce *{random} = {惡意軟體路徑}\{惡意軟體名稱}
其他系統修改 此勒索軟體添加了以下登錄檔??項: HKEY_LOCAL_MACHINE\SOFTWARE\{附加勒索軟體擴展} hScreen = {銀幕高度} HKEY_LOCAL_MACHINE\SOFTWARE\{附加勒索軟體擴展} wScreen = {銀幕寬度} HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows NT\CurrentVersion\Winlogon AutoAdminLogon = 1 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows NT\CurrentVersion\Winlogon DefaultUserName = 管理員 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows NT\CurrentVersion\Winlogon DefaultDomainName = {主機名}
它通過修改以下登錄檔??項來更改桌面桌布: HKEY_CURRENT_USER\Control Panel\Desktop WallPaper = %ProgramData%\HLJkNskOq.bmp HKEY_CURRENT_USER\Control Panel\Desktop WallpaperStyle = 10
如果在受影響的系統上發現此勒索軟體,則會終止以下服務: backup GxBlr GxCIMgr GxCVD GxFWD GxVss memtas mepocs msexchange sophos sql svc$ veeam vss
如果發現在受影響系統的內部記憶體中運行,它將終止以下程式: agntsvc dbeng50 dbsnmp encsvc excel firefox infopath isqlplussvc msaccess mspub mydesktopqos mydesktopservice notepad ocautoupds ocomm ocssd onenote oracle outlook powerpnt sqbcoreservice sql steam synctime tbirdconfig thebat thunderbird visio winword wordpad xfssvccon
它會刪除以下檔案作為贖金記錄: {感染目錄}\HLJkNskOq.README.txt
|
參考資訊: |
Trend Micro
|
|