Ransom.Win32.RANESTATE.THGAABD

2024年7月26日

分(fēn)析者: John Rainier Navato

Trojan-Ransom.LockBit (IKARUS)

平台:

Windows

总體(tǐ)风险等级:

潜在破坏:

潜在分(fēn)布:

感染次数:

信息暴露:

恶意软件类型:
Ransomware
有(yǒu)破坏性？:
没有(yǒu)
加密？:
In the Wild:
是的

概要

感染途徑: 从互联网上下载, 下载了其他(tā)恶意软件

它以文(wén)件的形式出现在系统中(zhōng)，可(kě)能(néng)是其他(tā)恶意软件投放的，或者是用(yòng)户在访问恶意网站时无意中(zhōng)下载的。

技(jì )术详细信息

文(wén)件大小(xiǎo): 150,528 bytes

报告日期: EXE

内存驻留: 没有(yǒu)

初始樣本接收日期: 2024年7月11日

Payload: 收集系统信息, 植入文(wén)件, 显示图形/图片, 修改系统注册表, 终止进程

新(xīn)病毒详细信息

它以文(wén)件的形式出现在系统中(zhōng)，可(kě)能(néng)是其他(tā)恶意软件投放的，或者是用(yòng)户在访问恶意网站时无意中(zhōng)下载的。

安(ān)装(zhuāng)

它添加下列进程：

bcdedit /set {current} safeboot network → if -safe commandline parameter is used.

它添加下列互斥条目，确保一次只会运行一个副本：

Global\02a4da2bbb8d0a734e8e99f24165686e

其他(tā)系统修改

它修改下列注册表项：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
AutoAdminLogon = 1 → if -safe commandline parameter is used

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
DefaultUserName = Administrator if -safe commandline parameter is used

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
DefaultDomainName = {Computer Domain Name} if -safe commandline parameter is used

进程终止

它终止在受感染的系统上运行的下列服務(wù)：

vss
sql
svc$
memtas
mepocs
msexchange
sophos
veeam
backup
GxVss
GxBlr
GxFWD
GxCVD
GxCIMgr

它终止在受感染的系统内存中(zhōng)运行的下列进程：

sql
oracle
ocssd
dbsnmp
synctime
agntsvc
synctime
isqlplussvc
xfssvccon
mydesktopservice
ocautonupds
encsvc
firefox
tbirdconfig
mydesktopqos
ocomm
dbeng50
sqbcoreservice
excel
infopath
msaccess
mspub
onenote
outlook
powerpnt
steam
thebat
thunderbird
visio winword
wordpad
notepad

信息窃取

它收集下列数据:

Hostname
Username
OS version
Domain
Architecture
Language

其他(tā)详细信息

该程序执行以下操作(zuò)：

If not executed with admin rights, it will attempt to relaunch itself as admin by elevating its privileges via bypassing UAC
It encrypts fixed, removable and network shares
It deletes files in recycle bin folder for removable and fixed drives
它使用(yòng) WQL 来删除快照副本
It renames itself 26 times before deleting itself after encryption
It has the capability to print the ransom note in infected machines
It deletes the following services:
- WdBoot
- WdFilter
- WdNisDrv
- WdNisSvc
- WinDefend
- wscsvc
- sppsvc
- Sense
- SecurityHealthService
It duplicates the token of the following:
- explorer.exe - to gain privileged domain access
- lsass.exe
- TrustedInstaller - service is started if not yet running
It contains a list of username:password that it will use to log into domain controllers.

解决方案

最小(xiǎo)扫描引擎: 9.800

First VSAPI Pattern File: 19.462.03

VSAPI 第一样式发布日期: 2024年7月12日

VSAPI OPR样式版本: 19.463.00

VSAPI OPR样式发布日期: 2024年7月13日

Step 2

对于Windows ME和XP用(yòng)户，在扫描前，请确认已禁用(yòng)系统还原功能(néng)，才可(kě)全面扫描计算机。

Step 3

注意：在此恶意软件/间谍软件/灰色软件执行期间，并非所有(yǒu)文(wén)件、文(wén)件夹和注册表键值和项都会安(ān)装(zhuāng)到您的计算机上。这可(kě)能(néng)是由于不完整的安(ān)装(zhuāng)或其他(tā)操作(zuò)系统条件所致。如果您没有(yǒu)找到相同的文(wén)件/文(wén)件夹/注册表信息，请继续进行下一步操作(zuò)。

Step 4

删除该注册表值

[ 更多(duō) ]

注意事项：错误编辑Windows注册表会导致不可(kě)挽回的系统故障。只有(yǒu)在您掌握后或在系统管理(lǐ)员的帮助下才能(néng)完成这步。或者，请先阅读Microsoft文(wén)章，然后再修改计算机注册表。

In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
- AutoAdminLogon = 1
In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
- DefaultUserName = Administrator
In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
- DefaultDomainName = {Computer Domain Name}

Step 5

搜索和删除这些文(wén)件

[ 更多(duō) ]

有(yǒu)些组件文(wén)件可(kě)能(néng)是隐藏的。请确认在"高级选项"中(zhōng)已选中(zhōng)搜索隐藏文(wén)件和文(wén)件夹复选框，使查找结果包括所有(yǒu)隐藏文(wén)件和文(wén)件夹。

{Discovered Folder}\FEZbmXrQn.README.txt

DATA_GENERIC_FILENAME_1

在查找范围下拉列表中(zhōng)，选择

我的電(diàn)脑然后回車(chē)确认。

一旦找到，请选择文(wén)件，然后按下SHIFT+DELETE彻底删除文(wén)件。

对剩余的文(wén)件重复第2到4步： {Discovered Folder}\FEZbmXrQn.README.txt

Step 6

使用(yòng)亚信安(ān)全产(chǎn)品扫描计算机，并删除检测到的Ransom.Win32.RANESTATE.THGAABD文(wén)件如果检测到的文(wén)件已被亚信安(ān)全产(chǎn)品清除、删除或隔离，则无需采取进一步措施。可(kě)以选择直接删除隔离的文(wén)件。请参阅知识库页(yè)面了解详细信息。

Step 7