病毒通告:Ransom.Win32.NOESCAPE.THFOEBC 勒索病毒
2023-09-20
風險等級: 高度威脅
摘  要: 病毒通告:Ransom.Win32.NOESCAPE.THFOEBC 勒索病毒
解決辦法: 1.在進行任何掃描之前,Windows 7、Windows 8、Windows 8.1 和 Windows 10 用戶必須禁用系統還原以允許對其計算機進行全面掃描。 2.請注意,在此惡意軟體/間諜軟體/灰色軟體執行期間,並非所有檔案、文件夾、登錄檔和條目都安裝在您的電腦上。這可能是由於安裝不完整或其他操作系統條件造成的。如果您沒有找到相同的檔案/文件夾/登錄檔,請繼續下一步。 3.以安全模式重新啟動 4.恢復此修改的登錄檔: In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System EnableLUA = 0 In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System ConsentPromptBehaviorAdmin = 0 5.刪除該登錄檔: In HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon Shell = explorer.exe,%Application Data%\[Malware File Name}.exe In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System EnableLinkedConnections = 1 6.搜尋並刪除下列檔案: %Application Data%\{Malware File Name}.exe %Application Data%\wallpaper.jpg %Desktop%\HOW_TO_RECOVER_FILES.txt {File Path of Encrypted Files}\HOW_TO_RECOVER_FILES.txt 7.以正常模式重新啟動,查找檢測為 Ransom.Win32.NOESCAPE.THFOEBC 的文件。 8.從備份中恢復加密文件。
細節描述: 該勒索軟體以其他惡意軟體丟棄的文件或用戶在訪問惡意網站時,無意中下載到系統的檔案。它會以丟棄檔案做為勒索點,並會避免加密具有副檔名的檔案。

此勒索軟體會新增以下登錄編輯,以使其在每次系統啟動時自動執行:
if --safe-mode commandline parameter is used:
"%System%\bcdedit.exe" /set {default} safeboot network
"%System%\shutdown.exe" -r

此勒索軟體會對以下資料夾中的檔案進行加密:
{Exchange Install Path}\Mailbox
%Program Files%\Microsoft SQL Server
%Program Files%\Microsoft\Exchange Server
%Program Files%\mysql

它將以下副檔名附加到加密檔案的檔案名稱:
.EACBHCJFI

它會刪除以下文件作為勒索信:
%Desktop%\HOW_TO_RECOVER_FILES.txt
{File Path of Encrypted Files}\HOW_TO_RECOVER_FILES.txt
參考資訊: Trendmicro