分(fēn)析者: Leidryn Saludez   
 :

Ransom:Win32/Beast.YAA!MTB (MICROSOFT)

 平台:

Windows

 总體(tǐ)风险等级:
 潜在破坏:
 潜在分(fēn)布:
 感染次数:
 信息暴露:

  • 恶意软件类型:
    Ransomware

  • 有(yǒu)破坏性?:
    没有(yǒu)

  • 加密?:
    没有(yǒu)

  • In the Wild:
    是的

  概要

它以文(wén)件的形式出现在系统中(zhōng),可(kě)能(néng)是其他(tā)恶意软件投放的,或者是用(yòng)户在访问恶意网站时无意中(zhōng)下载的。

  技(jì )术详细信息

文(wén)件大小(xiǎo): 82,944 bytes
报告日期: EXE
内存驻留: 没有(yǒu)
初始樣本接收日期: 2024年7月11日
Payload: 连接到 URL/Ip, 植入文(wén)件

新(xīn)病毒详细信息

它以文(wén)件的形式出现在系统中(zhōng),可(kě)能(néng)是其他(tā)恶意软件投放的,或者是用(yòng)户在访问恶意网站时无意中(zhōng)下载的。

安(ān)装(zhuāng)

它植入下列文(wén)件:

  • %User Temp%\default.key

(注意: %User Temp% 是当前用(yòng)户的 Temp 文(wén)件夹。通常位于 C:\Documents and Settings\{user name}\Local Settings\Temp (Windows 2000(32-bit)、XP 和 Server 2003(32-bit))、C:\Users\{user name}\AppData\Local\Temp (Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit) 和 10(64-bit)。)

它添加下列互斥条目,确保一次只会运行一个副本:

  • BEAST HERE?

进程终止

它终止在受感染的系统上运行的下列服務(wù):

  • AcronisAgent
  • AcrSch2Svc
  • backup
  • BackupExecAgentAccelerator
  • BackupExecAgentBrowser
  • BackupExecDiveciMediaService
  • BackupExecJobEngine
  • BackupExecManagementService
  • BackupExecRPCService
  • BackupExecVSSProvider
  • CAARCUpdateSvc
  • CASAD2DWebSvc
  • ccEvtMgr
  • ccSetMgr
  • DefWatch
  • GxBlr
  • GxCIMgr
  • GxCVD
  • GxFWD
  • GxVss
  • Intuit.QuickBooks.FCS
  • memtas
  • mepocs
  • msexchange
  • PDVFSService
  • QBCFMonitorService
  • QBFCService
  • QBIDPService
  • RTVscan
  • SavRoam
  • sophos
  • sql
  • stc_raw_agent
  • svc$
  • veeam
  • VeeamDeploymentService
  • VeeamNFSSvc
  • VeeamTransportSvc
  • VSNAPVSS
  • vss
  • wscsvc
  • wuauserv
  • YooBackup
  • YooIT
  • zhudongfangyu
  • MSSQLFDLauncher
  • MSSQLSERVER
  • SQLSERVERAGENT
  • SQLBrowser
  • SQLTELEMETRY
  • MsDtsServer130
  • SSISTELEMETRY130
  • SQLWriter
  • MSSQL$VEEAMSQL2012
  • SQLAgent$VEEAMSQL2012
  • MSSQL
  • SQLAgent
  • MSSQLServerADHelper100
  • MSSQLServerOLAPService
  • MsDtsServer100
  • ReportServer
  • SQLTELEMETRY$HL
  • TMBMServer
  • MSSQL$PROGID
  • MSSQL$WOLTERSKLUWER
  • SQLAgent$PROGID
  • SQLAgent$WOLTERSKLUWER
  • MSSQLFDLauncher$OPTIMA
  • MSSQL$OPTIMA
  • SQLAgent$OPTIMA
  • ReportServer$OPTIMA
  • msftesql$SQLEXPRESS
  • postgresql-x64-9.4

它终止在受感染的系统内存中(zhōng)运行的下列进程:

  • agntsvc.exe
  • encsvc.exe
  • isqlplussvc.exe
  • apache.exe
  • backup.exe
  • dbeng50.exe
  • dbsnmp.exe
  • encsvc.exe
  • excel.exe
  • firefox.exe
  • firefoxconfig.exe
  • infopath.exe
  • isqlplussvc.exe
  • kingdee.exe
  • msaccess.exe
  • msftesql.exe
  • mspub.exe
  • mydesktopqos.exe
  • mydesktopservice.exe
  • mysqld-nt.exe
  • mysqld-opt.exe
  • mysqld.exe
  • ncsvc.exe
  • notepad.exe
  • ocautoupds.exe
  • ocomm.exe
  • ocssd.exe
  • onenote.exe
  • oracle.exe
  • outlook.exe
  • powerpnt.exe
  • sqbcoreservice.exe
  • sql.exe
  • sqlagent.exe
  • sqlbrowser.exe
  • sqlserver.exe
  • sqlservr.exe
  • sqlwriter.exe
  • steam.exe
  • synctime.exe
  • tbirdconfig.exe
  • thebat.exe
  • thunderbird.exe
  • tomcat.exe
  • tomcat6.exe
  • u8.exe
  • ufida.exe
  • visio.exe
  • winword.exe
  • wordpad.exe
  • xfssvccon.exe

  解决方案

最小(xiǎo)扫描引擎: 9.800
First VSAPI Pattern File: 19.458.03
VSAPI 第一样式发布日期: 2024年7月10日
VSAPI OPR样式版本: 19.459.00
VSAPI OPR样式发布日期: 2024年7月11日

Step 2

对于Windows ME和XP用(yòng)户,在扫描前,请确认已禁用(yòng)系统还原功能(néng),才可(kě)全面扫描计算机。

Step 3

使用(yòng)亚信安(ān)全产(chǎn)品扫描计算机,并删除检测到的Ransom.Win32.BEAST.YPEGI文(wén)件 如果检测到的文(wén)件已被亚信安(ān)全产(chǎn)品清除、删除或隔离,则无需采取进一步措施。可(kě)以选择直接删除隔离的文(wén)件。请参阅知识库页(yè)面了解详细信息。

Step 4

从备份中(zhōng)恢复加密文(wén)件。