風險等級: |
高度威脅 |
摘 要: |
病毒通告:Ransom.Win32.NOESCAPE.D 勒索病毒 |
解決辦法: |
1.在進行任何掃描之前,Windows 7、Windows 8、Windows 8.1 和 Windows 10 用戶必須禁用系統還原以允許對其計算機進行全面掃描。
2.請注意,在此惡意軟體/間諜軟體/灰色軟體執行期間,並非所有檔案、文件夾、登錄檔和條目都安裝在您的電腦上。這可能是由於安裝不完整或其他操作系統條件造成的。如果您沒有找到相同的檔案/文件夾/登錄檔,請繼續下一步。
3.以安全模式重新啟動
4.恢復此修改的登錄檔:
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Policies>System
EnableLUA = 0
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Policies>System
ConsentPromptBehaviorAdmin = 0
5.搜尋並刪除下列檔案:
%Application Data%\wallpaper.jpg
6.以正常模式重新啟動,查找檢測為 Ransom.Win32.NOESCAPE.D 的文件。
7.從備份中恢復加密文件。 |
細節描述: |
該勒索軟體以其他惡意軟體丟棄的檔案或使用者在造訪惡意網站時無意中下載的檔案的形式到達系統。
此勒索軟體會新增以下登錄編輯: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\Policies\ System EnableLUA = 0 (註:此註冊表項的預設值資料為1。)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\Policies\ System ConsentPromptBehaviorAdmin = 0 (註:此註冊表項的預設值資料為5。)
此勒索軟體會收集以下數據: 主機名稱 IP位址
此勒索軟體會執行以下操作: 清空資源回收桶 它會對本機磁碟機、可移動磁碟機和網路共用中的檔案進行加密。
它將系統的背景桌布設定為以下圖像檔: %Application Data%\wallpaper.jpg
它會刪除以下文件作為勒索信: {Ecrypted Directory}\HOW_TO_RECOVER_FILES.txt %Desktop%\HOW_TO_RECOVER_FILES.txt |
參考資訊: |
Trendmicro
|
|