Ransom.Win32.NOESCAPE.D
Win32:Evo-gen [Trj] (AVAST)
Windows
恶意软件类型:
Ransomware
有(yǒu)破坏性?:
没有(yǒu)
加密?:
In the Wild:
是的
概要
它以文(wén)件的形式出现在系统中(zhōng),可(kě)能(néng)是其他(tā)恶意软件投放的,或者是用(yòng)户在访问恶意网站时无意中(zhōng)下载的。
技(jì )术详细信息
新(xīn)病毒详细信息
它以文(wén)件的形式出现在系统中(zhōng),可(kě)能(néng)是其他(tā)恶意软件投放的,或者是用(yòng)户在访问恶意网站时无意中(zhōng)下载的。
安(ān)装(zhuāng)
它植入下列文(wén)件:
- %Application Data%\wallpaper.jpg
(注意: %Application Data% 是当前用(yòng)户的 Application Data 文(wén)件夹,通常位于 C:\Windows\Profiles\{user name}\Application Data (Windows 98 和 ME)、C:\WINNT\Profiles\{user name}\Application Data (Windows NT)、C:\Documents and Settings\{user name}\Local Settings\Application Data (Windows 2000(32-bit)、XP 和 Server 2003(32-bit)) 和 C:\Users\{user name}\AppData\Roaming (Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit) 和 10(64-bit))。)
它添加下列进程:
- wmic SHADOWCOPY DELETE /nointeractive
- wbadmin DELETE SYSTEMSTATEBACKUP -deleteOldest
- wbadmin DELETE SYSTEMSTATEBACKUP -keepVersions:0
- wbadmin DELETE BACKUP -deleteOldest
- wbadmin DELETE BACKUP -keepVersions:0
- vssadmin Delete Shadows /All /Quiet
- bcdedit /set {default} recoveryenabled No
- bcdedit /set {default} bootstatuspolicy ignoreallfailures
它添加下列互斥条目,确保一次只会运行一个副本:
- Global\{Hash of Machine GUID}
其他(tā)系统修改
它修改下列注册表项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Policies\
System
EnableLUA = 0
(Note: The default value data of the said registry entry is 1.)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Policies\
System
ConsentPromptBehaviorAdmin = 0
(Note: The default value data of the said registry entry is 5.)
它将系统的桌面壁纸设置為(wèi)下列图像:
- %Application Data%\wallpaper.jpg
进程终止
它终止在受感染的系统上运行的下列服務(wù):
- Culserver
- DefWatch
- GxBlr
- GxCIMgr
- GxCVD
- GxFWD
- GxVss
- QBCFMonitorService
- QBIDPService
- RTVscan
- SavRoam
- VMAuthdService
- VMUSBArbService
- VMnetDHCP
- VMwareHostd
- backup
- ccEvtMgr
- ccSetMgr
- dbeng8
- dbsrv12
- memtas
- mepocs
- msexchange
- msmdsrv
- sophos
- sql
- sqladhlp
- sqlagent
- sqlbrowser
- sqlservr
- sqlwriter
- svc$
- tomcat6
- veeam
- vmware-
- converter
- vmware-usbarbitator64
- vss
它终止在受感染的系统内存中(zhōng)运行的下列进程:
- 360doctor
- 360se
- Culture
- Defwatch
- GDscan
- MsDtSrvr
- QBCFMonitorService
- QBDBMgr
- QBIDPService
- QBW32
- RAgui
- RTVscan
- agntsvc
- agntsvcencsvc
- agntsvcisqlplussvc
- anvir
- anvir64
- apache
- axlbridge
- backup
- ccleaner
- ccleaner64
- dbeng50
- dbsnmp
- encsvc
- excel
- far
- fdhost
- fdlauncher
- httpd
- infopath
- isqlplussvc
- java
- kingdee
- msaccess
- msftesql
- mspub
- mydesktopqos
- mydesktopservice
- mysqld-nt
- mysqld-opt
- mysqld
- ncsvc
- ocautoupds
- ocomm
- ocssd
- onedrive
- onenote
- oracle
- outlook
- powerpnt
- procexp
- qbupdate
- sqbcoreservice
- sql
- sqlagent
- sqlbrowser
- sqlmangr
- sqlserver
- sqlservr
- sqlwriter
- steam
- supervise
- synctime
- taskkill
- tasklist
- tbirdconfig
- thebat
- thunderbird
- tomcat
- tomcat6
- u8
- ufida
- visio
- wdsw
- fsafe
- winword
- wordpad
- wuau
- clt
- wxServer
- wxServerView
- xfssvccon
信息窃取
它收集下列数据:
- Host Name
- IP Address
其他(tā)详细信息
该程序执行以下操作(zuò):
- Empties Recycle Bin
- It encrypts files from local drives, removable drives, and network shares.
解决方案
Step 2
对于Windows ME和XP用(yòng)户,在扫描前,请确认已禁用(yòng)系统还原功能(néng),才可(kě)全面扫描计算机。
Step 3
注意:在此恶意软件/间谍软件/灰色软件执行期间,并非所有(yǒu)文(wén)件、文(wén)件夹和注册表键值和项都会安(ān)装(zhuāng)到您的计算机上。这可(kě)能(néng)是由于不完整的安(ān)装(zhuāng)或其他(tā)操作(zuò)系统条件所致。如果您没有(yǒu)找到相同的文(wén)件/文(wén)件夹/注册表信息,请继续进行下一步操作(zuò)。
Step 4
还原已修改注册表值。
I重要: 错误地编辑 Windows 注册表 会导致系统不能(néng)正常工(gōng)作(zuò)。该操作(zuò)需要在专业人士的指导下完成。 或者遵照这篇 微软文(wén)章 对Windows注册表做相应修改。
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
- EnableLUA = 0
- EnableLUA = 0
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
- ConsentPromptBehaviorAdmin = 0
- ConsentPromptBehaviorAdmin = 0
Step 5
搜索和删除该文(wén)件
- %Application Data%\wallpaper.jpg
Step 6
使用(yòng)亚信安(ān)全产(chǎn)品扫描计算机,并删除检测到的Ransom.Win32.NOESCAPE.D文(wén)件 如果检测到的文(wén)件已被亚信安(ān)全产(chǎn)品清除、删除或隔离,则无需采取进一步措施。可(kě)以选择直接删除隔离的文(wén)件。请参阅知识库页(yè)面了解详细信息。
Step 7
从备份中(zhōng)恢复加密文(wén)件。