分(fēn)析者: David John Agni   
 :

Ransom:Win32/Tescrypt.A (Microsoft), Ransom.TeslaCrypt (Malwarebytes)

 平台:

Windows

 总體(tǐ)风险等级:
 潜在破坏:
 潜在分(fēn)布:
 感染次数:
 信息暴露:

  • 恶意软件类型:
    Trojan

  • 有(yǒu)破坏性?:
    没有(yǒu)

  • 加密?:
    是的

  • In the Wild:
    是的

  概要

感染途徑: 从互联网上下载

它以其他(tā)恶意软件释放的文(wén)件或用(yòng)户访问恶意网站时不知不觉下载的文(wén)件的形式到达系统。它开始执行然后再删除。

  技(jì )术详细信息

文(wén)件大小(xiǎo): 344,064 bytes
报告日期: EXE
内存驻留: 是的
初始樣本接收日期: 2015年12月8日
Payload: 连接到 URL/Ip, 显示消息/消息框, 窃取信息

安(ān)装(zhuāng)

它在受感染的系统中(zhōng)植入并执行下列自身副本:

  • %Application Data%\{5 random character}-bc.exe

(注意: %Application Data% 是当前用(yòng)户的 Application Data 文(wén)件夹,通常位于 C:\Windows\Profiles\{user name}\Application Data (Windows 98 和 ME)、C:\WINNT\Profiles\{user name}\Application Data (Windows NT) 和 C:\Documents and Settings\{user name}\Local Settings\Application Data (Windows 2000、XP 和 Server 2003)。)

它添加下列互斥条目,确保一次只会运行一个副本:

  • 2134-1234-1324-2134-1324-2134

自启动技(jì )术

它添加下列注册表项,在系统每次启动时自行执行:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Acronis = "%Application Data%\{5 random character}-bc.exe"

其他(tā)系统修改

它添加下列注册表键值:

HKEY_CURRENT_USER\Software\zsys

HKEY_CURRENT_USER\Software\{installation ID}

它添加下列注册表项:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Policies\
System
EnabledLinkConnections = 1

HKEY_CURRENT_USER\Software\{installation ID}
data = {encryption information}

HKEY_CURRENT_USER\Software\zsys
ID = {installation ID}

进程终止

它终止在受感染的系统内存中(zhōng)运行的下列进程:

  • taskmgr
  • procexp
  • regedit
  • msconfig
  • cmd.exe

Web浏览器主页(yè)和搜索页(yè)面修改

它修改 Internet Explorer 區(qū)域设置。

植入例程

它植入下列文(wén)件:

  • %User Profile%\Documents\recover_file_{9 random letters}.txt
  • %Desktop%\Howto_RESTORE_FILES.txt
  • %Desktop%\Howto_RESTORE_FILES.html
  • %Desktop%\Howto_RESTORE_FILES.bmp

(注意: %User Profile% 是当前用(yòng)户的概要文(wén)件文(wén)件夹,通常位于 C:\Windows\Profiles\{user name} (Windows 98 和 ME)、C:\WINNT\Profiles\{user name} (Windows NT) 和 C:\Documents and Settings\{user name} (Windows 2000、XP 和 Server 2003)。. %Desktop% 是当前用(yòng)户的桌面,通常位于 C:\Windows\Profiles\{user name}\Desktop (Windows 98 和 ME)、C:\WINNT\Profiles\{user name}\Desktop (Windows NT) 和 C:\Documents and Settings\{User Name}\桌面 (Windows 2000、XP 和 Server 2003)。)

其他(tā)详细信息

它连接到下列网站,发送和接收信息:

  • http://{BLOCKED}academy.com/media/misc.php
  • http://crown.{BLOCKED}io.pl/media/misc.php
  • http://{BLOCKED}lbrass.no/media/misc.php
  • http://{BLOCKED}asphalt.com/media/misc.php
  • http://{BLOCKED}tup.com/media/misc.php
  • http://{BLOCKED}randes.com/media/misc.php

它使用(yòng)下列扩展名(míng)加密文(wén)件:

  • .3fr
  • .accdb
  • .ai
  • .arch00
  • .arw
  • .bar
  • .bay
  • .bc6
  • .bc7
  • .big
  • .bkf
  • .bkp
  • .blob
  • .cas
  • .cdr
  • .cer
  • .cfr
  • .cr2
  • .crt
  • .crw
  • .css
  • .dazip
  • .db0
  • .dba
  • .dbf
  • .dcr
  • .der
  • .desc
  • .dmp
  • .dng
  • .doc
  • .docm
  • .docx
  • .dwg
  • .dxg
  • .eps
  • .erf
  • .esm
  • .ff
  • .flv
  • .fos
  • .fpk
  • .fsh
  • .gdb
  • .gho
  • .hkdb
  • .hkx
  • .hplg
  • .hvpl
  • .ibank
  • .icxs
  • .indd
  • .itdb
  • .itl
  • .itm
  • .iwd
  • .jpe
  • .jpeg
  • .jpg
  • .js
  • .kdb
  • .kdc
  • .kf
  • .layout
  • .lrf
  • .lvl
  • .m2
  • .m3u
  • .map
  • .mcmeta
  • .mdb
  • .mdbackup
  • .mddata
  • .mdf
  • .mef
  • .menu
  • .mlx
  • .mov
  • .mpqge
  • .mrwref
  • .ncf
  • .nrw
  • .ntl
  • .odb
  • .odc
  • .odm
  • .odp
  • .ods
  • .odt
  • .orf
  • .p12
  • .p7b
  • .p7c
  • .pdd
  • .pdf
  • .pef
  • .pem
  • .pfx
  • .pkpass
  • .png
  • .ppt
  • .pptm
  • .pptx
  • .psd
  • .psk
  • .pst
  • .ptx
  • .py
  • .qdf
  • .qic
  • .raf
  • .raw
  • .rb
  • .rim
  • .rofl
  • .rtf
  • .rw2
  • .rwl
  • .sb
  • .sid
  • .sidd
  • .sidn
  • .sie
  • .sis
  • .snx
  • .sr2
  • .srf
  • .srw
  • .sum
  • .svg
  • .syncdb
  • .t12
  • .t13
  • .tax
  • .tor
  • .txt
  • .vcf
  • .vdf
  • .vfs0
  • .vpk
  • .vpp_pc
  • .vtf
  • .w3x
  • .wb2
  • .wmo
  • .wotreplay
  • .wpd
  • .wps
  • .x3f
  • .xf
  • .xlk
  • .xls
  • .xlsb
  • .xlsm
  • .xlsx
  • .xxx
  • .zip
  • .ztmp
  • wallet

它打开下列应用(yòng)程序:

  • dropped %Desktop%\Howto_RESTORE_FILES.txt
  • dropped %Desktop%\Howto_RESTORE_FILES.html
  • dropped %Desktop%\Howto_RESTORE_FILES.bmp

(注意: %Desktop% 是当前用(yòng)户的桌面,通常位于 C:\Windows\Profiles\{user name}\Desktop (Windows 98 和 ME)、C:\WINNT\Profiles\{user name}\Desktop (Windows NT) 和 C:\Documents and Settings\{User Name}\桌面 (Windows 2000、XP 和 Server 2003)。)

它在执行后自行删除。

  解决方案

最小(xiǎo)扫描引擎: 9.800
First VSAPI Pattern File: 12.198.05
VSAPI 第一样式发布日期: 2015年12月8日
VSAPI OPR样式版本: 12.199.00
VSAPI OPR样式发布日期: 2015年12月9日

Step 1

对于Windows ME和XP用(yòng)户,在扫描前,请确认已禁用(yòng)系统还原功能(néng),才可(kě)全面扫描计算机。

Step 3

删除该注册表值

[ 更多(duō) ]

注意事项:错误编辑Windows注册表会导致不可(kě)挽回的系统故障。只有(yǒu)在您掌握后或在系统管理(lǐ)员的帮助下才能(néng)完成这步。或者,请先阅读Microsoft文(wén)章,然后再修改计算机注册表。

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
  • Acronis = "%Application Data%\{5 random character}-bc.exe"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
  • EnabledLinkConnections = "1"

Step 4

删除该注册表键值

[ 更多(duō) ]

注意事项:错误编辑Windows注册表会导致不可(kě)挽回的系统故障。只有(yǒu)在您掌握后或在系统管理(lǐ)员的帮助下才能(néng)完成这步。或者,请先阅读Microsoft文(wén)章,然后再修改计算机注册表。

  • In HKEY_CURRENT_USER\Software
    • zsys
  • In HKEY_CURRENT_USER\Software
    • {Installation ID}

Step 5

搜索和删除这些文(wén)件

[ 更多(duō) ]
有(yǒu)些组件文(wén)件可(kě)能(néng)是隐藏的。请确认在"高级选项"中(zhōng)已选中(zhōng)搜索隐藏文(wén)件和文(wén)件夹复选框,使查找结果包括所有(yǒu)隐藏文(wén)件和文(wén)件夹。
  • %User Profile%\Documents\recover_file_{9 random letters}.txt
  • %Desktop%\Howto_RESTORE_FILES.txt
  • %Desktop%\Howto_RESTORE_FILES.html
  • %Desktop%\Howto_RESTORE_FILES.bmp
  • how_recover+{3 random letters}.html
  • how_recover+{3 random letters}.txt
DATA_GENERIC_FILENAME_1
  • 查找范围下拉列表中(zhōng),选择
  • 我的電(diàn)脑然后回車(chē)确认。
  • 一旦找到,请选择文(wén)件,然后按下SHIFT+DELETE彻底删除文(wén)件。
  • 对剩余的文(wén)件重复第2到4步:
      • %User Profile%\Documents\recover_file_{9 random letters}.txt
      • %Desktop%\Howto_RESTORE_FILES.txt
      • %Desktop%\Howto_RESTORE_FILES.html
      • %Desktop%\Howto_RESTORE_FILES.bmp
      • how_recover+{3 random letters}.html
      • how_recover+{3 random letters}.txt

    • Step 6

    重置Internet 安(ān)全设置

    [ 更多(duō) ]

    Step 7

    使用(yòng)亚信安(ān)全产(chǎn)品扫描计算机,并删除检测到的RANSOM_CRYPTESLA.YYSIX文(wén)件 如果检测到的文(wén)件已被亚信安(ān)全产(chǎn)品清除、删除或隔离,则无需采取进一步措施。可(kě)以选择直接删除隔离的文(wén)件。请参阅知识库页(yè)面了解详细信息。