病毒通告:Ransom.Win64.LOCKBIT.YJDIHT 勒索病毒
2023-11-24
風險等級: 高度威脅
摘  要: 病毒通告:Ransom.Win64.LOCKBIT.YJDIHT 勒索病毒
解決辦法: 1.在進行任何掃描之前,Windows 7、Windows 8、Windows 8.1 和 Windows 10 用戶必須禁用系統還原以允許對其計算機進行全面掃描。 2.請注意,在此惡意軟體/間諜軟體/灰色軟體執行期間,並非所有檔案、文件夾、登錄檔和條目都安裝在您的電腦上。這可能是由於安裝不完整或其他操作系統條件造成的。如果您沒有找到相同的檔案/文件夾/登錄檔,請繼續下一步。 3.搜尋並刪除以下文件: {Drive Letter}:\!!!-Restore-My-Files-!!!.txt {Directory with Encrypted Files}\!!!-Restore-My-Files-!!!.txt %Desktop%\!!!-Restore-My-Files-!!!.txt {Malware File Path}\{Log File Name} {Log File Path}\{Log File Name} 4.從備份中恢復加密文件。
細節描述: 該勒索軟體以其他惡意軟體丟棄的文件或用戶在訪問惡意網站時,無意中下載到系統的檔案。它會以丟棄檔案做為勒索點,並會避免加密具有副檔名的檔案。

1.該勒索軟體會產生以下文件:
{Malware File Path}\{Log File Name}:當使用參數 -log {Log File Name} 時。
{Log File Path}\{Log File Name}:當使用參數 -log {Log File Path}\{Log File Name} 時。

2.為確保任何時刻僅運行其中一個複本,它會添加以下互斥鎖:
hsfjuukjzloqu28oajh727190

3.該勒索軟體可以使用Windows Management Instrumentation (WMI)來刪除volume shadow copies:
cmd.exe /c %System%\wbem\WMIC.exe shadowcopy where "ID=\'{GUID}\'" delete

4.該勒索軟體會執行以下操作:

(1)加密網路共用時,它將檢查 IP 位址是否以以下內容開頭,以確保加密到的是本機,而非網路系統:
172.
192.168.
10.
169.

(2)該勒索軟體使用不同的加密方法對以下副檔名的檔案進行加密:
.4dd
.4dl
.abcddb
.abs
.abx
.accdb
.accdc
.accde
.accdr
.accdt
.accdw
.accft
.adb
.ade
.adf
.adn
.adp
.alf
.arc
.ask
.avdx
.avhd
.bdf
.bin
.btr
.cat
.cdb
.ckp
.cma
.cpd
.dacpac
.dad
.dadiagrams
.daschema
.db
.db-shm
.db-wal
.db2
.db3
.dbc
.dbf
.dbs
.dbt
.dbv
.dbx
.dcb
.dct
.dcx
.ddl
.dlis
.dp1
.dqy
.dsk
.dsn
.dtsx
.dxl
.eco
.ecx
.edb
.epim
.exb
.fcd
.fdb
.fic
.fm5
.fmp
.fmp12
.fmps1
.fol
.fp3
.fp4
.fp5
.fp7
.fpt
.frm
.gdb
.grbd
.gwi
.hdb
.his
.hjt
.ib
.icg
.icr
.idb
.ihx
.iso
.itdb
.itw
.jet
.jtx
.kdb
.kdb
.kexi
.kexic
.kexis
.lgc
.lut
.lwx
.maf
.maq
.mar
.mas
.mav
.maw
.mdb
.mdf
.mdn
.mdt
.mpd
.mrg
.mud
.mwb
.myd
.ndf
.nnt
.nrmlib
.ns2
.ns3
.ns4
.nsf
.nv
.nv2
.nvram
.nwdb
.nyf
.odb
.oqy
.ora
.orx
.owc
.p96
.p97
.pan
.pdb
.pdm
.pnz
.pvm
.qcow2
.qry
.qvd
.raw
.rbf
.rctd
.rod
.rodx
.rpd
.rsd
.sas7bdat
.sbf
.sbf
.scx
.scx
.sdb
.sdb
.sdc
.sdc
.sdf
.sis
.spq
.sql
.sqlite
.sqlite3
.sqlitedb
.subvol
.te
.temx
.tmd
.tps
.trc
.trm
.udb
.udl
.usr
.v12
.vdi
.vhd
.vhdx
.vis
.vmcx
.vmdk
.vmem
.vmrs
.vmsd
.vmsn
.vmx
.vpd
.vsv
.vvv
.wdb
.wmdb
.wrk
.xdb
.xld
.xmlff

(3)該勒索軟體不會對有包含以下檔案名稱的檔案進行加密:
!!!-Restore-My-Files-!!!.txt
CONTI_LOG.txt

(4)該勒索軟體不會對以下資料夾中的檔案進行加密:
tmp
winnt
temp
thumb
$Recycle.Bin
$RECYCLE.BIN
System Volume Information
Boot
Windows
Trend Micro
perflogs

(5)該勒索軟體不會對以下副檔名的檔案進行加密:
.exe
.dll
.lnk
.sys
.msi
.bat
.098fd602
參考資訊: Trendmicro