分(fēn)析者: David John Agni   
 平台:

Windows

 总體(tǐ)风险等级:
 潜在破坏:
 潜在分(fēn)布:
 感染次数:
 信息暴露:

  • 恶意软件类型:
    Trojan

  • 有(yǒu)破坏性?:
    没有(yǒu)

  • 加密?:
     

  • In the Wild:
    是的

  概要

感染途徑: 从互联网上下载,或由其他(tā)恶意软件释放。

它以其他(tā)恶意软件释放的文(wén)件或用(yòng)户访问恶意网站时不知不觉下载的文(wén)件的形式到达系统。它开始执行然后再删除。

  技(jì )术详细信息

文(wén)件大小(xiǎo): 23,530,786 bytes
报告日期: EXE
内存驻留: 没有(yǒu)
初始樣本接收日期: 2016年2月4日
Payload: 连接到 URL/Ip, 危害系统安(ān)全

安(ān)装(zhuāng)

它植入下列文(wén)件:

  • %Application Data%\Chrome Browser\chrome - copy of the GPL licensing agreement
  • %Application Data%\Chrome Browser\chrome.exe - NW.js package application contains the actual malicious routine.
  • %Application Data%\Chrome Browser\icudtd.dat - NW.js framework component
  • %Application Data%\Chrome Browser\ffmpegsumo.dll - NW.js framework component
  • %Application Data%\Chrome Browser\nw.pak - NW.js framework component
  • %Application Data%\Chrome Browser\g - config file (Bitcoin address, Error Message, Affiliate ransom amount)
  • %Application Data%\Chrome Browser\rundll32.exe - Renamed TOR client used for C2 communication
  • %Application Data%\Chrome Browser\msgbox.vbs - script used to display the Error Message
  • %Application Data%\Chrome Browser\s.exe - used to drop the shortcut file in %User Startup% folder
  • %Application Data%\Chrome Browser\u.vbs - Enumerates and deletes all files and folder in the specified directory.

(注意: %Application Data% 是当前用(yòng)户的 Application Data 文(wén)件夹,通常位于 C:\Windows\Profiles\{user name}\Application Data (Windows 98 和 ME)、C:\WINNT\Profiles\{user name}\Application Data (Windows NT) 和 C:\Documents and Settings\{user name}\Local Settings\Application Data (Windows 2000、XP 和 Server 2003)。. %User Startup% 是当前用(yòng)户的启动文(wén)件夹,通常位于 C:\Windows\Profiles\{user name}\Start Menu\Programs\Startup (Windows 98 和 ME)、C:\WINNT\Profiles\{user name}\Start Menu\Programs\Startup (Windows NT) 和 C:\Documents and Settings\{User name}\「开始」菜单\程序\启动。)

它创建下列文(wén)件夹:

  • %Application Data%\Chrome Browser

(注意: %Application Data% 是当前用(yòng)户的 Application Data 文(wén)件夹,通常位于 C:\Windows\Profiles\{user name}\Application Data (Windows 98 和 ME)、C:\WINNT\Profiles\{user name}\Application Data (Windows NT) 和 C:\Documents and Settings\{user name}\Local Settings\Application Data (Windows 2000、XP 和 Server 2003)。)

自启动技(jì )术

它将下列文(wén)件植入 Windows 用(yòng)户启动文(wén)件夹,以便在系统每次启动时自动执行:

  • ChromeService.lnk - shortcut file that points to %Application Data%\Chrome Browser\chrome.exe

(注意: %Application Data% 是当前用(yòng)户的 Application Data 文(wén)件夹,通常位于 C:\Windows\Profiles\{user name}\Application Data (Windows 98 和 ME)、C:\WINNT\Profiles\{user name}\Application Data (Windows NT) 和 C:\Documents and Settings\{user name}\Local Settings\Application Data (Windows 2000、XP 和 Server 2003)。)

Web浏览器主页(yè)和搜索页(yè)面修改

它修改 Internet Explorer 區(qū)域设置。

其他(tā)详细信息

它连接到下列网站,发送和接收信息:

  • http://{BLOCKED}.{BLOCKED}.40.189:443
  • http://{BLOCKED}.{BLOCKED}.244.244:443
  • http://{BLOCKED}.{BLOCKED}.105.57:9001
  • http://{BLOCKED}.{BLOCKED}.92.11:9101
  • http://{BLOCKED}.{BLOCKED}.93.36:9001
  • http://{BLOCKED}.{BLOCKED}.92.11:9001
  • http://{BLOCKED}.{BLOCKED}.18.110:80

它使用(yòng)下列扩展名(míng)加密文(wén)件:

  • *.jpg
  • *.jpeg
  • *.raw
  • *.tif
  • *.gif
  • *.png
  • *.bmp
  • *.3dm
  • *.max
  • *.accdb
  • *.db
  • *.dbf
  • *.mdb
  • *.pdb
  • *.sql
  • *.*sav*
  • *.*spv*
  • *.*grle*
  • *.*mlx*
  • *.*sv5*
  • *.*game*
  • *.*slot*
  • *.dwg
  • *.dxf
  • *.c
  • *.cpp
  • *.cs
  • *.h
  • ../spam/3649/A_[Random Numbers].html
  • ../spam/3649/A_[Random Numbers].html
  • *.rb
  • *.java
  • *.jar
  • *.class
  • *.aaf
  • *.aep
  • *.aepx
  • *.plb
  • *.prel
  • *.prproj
  • *.aet
  • *.ppj
  • *.psd
  • *.indd
  • *.indl
  • *.indt
  • *.indb
  • *.inx
  • *.idml
  • *.pmd
  • *.xqx
  • *.xqx
  • *.ai
  • *.eps
  • *.ps
  • *.svg
  • *.swf
  • *.fla
  • *.as3
  • *.as
  • *.txt
  • *.doc
  • *.dot
  • *.docx
  • *.docm
  • *.dotx
  • *.dotm
  • *.docb
  • *.rtf
  • *.wpd
  • *.wps
  • *.msg
  • *.pdf
  • *.xls
  • *.xlt
  • *.xlm
  • *.xlsx
  • *.xlsm
  • *.xltx
  • *.xltm
  • *.xlsb
  • *.xla
  • *.xlam
  • *.xll
  • *.xlw
  • *.ppt
  • *.pot
  • *.pps
  • *.pptx
  • *.pptm
  • *.potx
  • *.potm
  • *.ppam
  • *.ppsx
  • *.ppsm
  • *.sldx
  • *.sldm
  • *.wav
  • *.mp3
  • *.aif
  • *.iff
  • *.m3u
  • *.m4u
  • *.mid
  • *.mpa
  • *.wma
  • *.ra
  • *.avi
  • *.mov
  • *.mp4
  • *.3gp
  • *.mpeg
  • *.3g2
  • *.asf
  • *.asx
  • *.flv
  • *.mpg
  • *.wmv
  • *.vob
  • *.m3u8
  • *.csv
  • *.efx
  • *.sdf
  • *.vcf
  • *.xml
  • *.ses
  • *.dat

  解决方案

最小(xiǎo)扫描引擎: 9.800
First VSAPI Pattern File: 12.252.05
VSAPI 第一样式发布日期: 2016年1月4日

Step 1

对于Windows ME和XP用(yòng)户,在扫描前,请确认已禁用(yòng)系统还原功能(néng),才可(kě)全面扫描计算机。

Step 3

重启进入安(ān)全模式

[ 更多(duō) ]

Step 4

搜索和删除这些文(wén)件夹

[ 更多(duō) ]
请确认在高级选项中(zhōng)已选中(zhōng)搜索隐藏文(wén)件和文(wén)件夹复选框,使查找结果包括所有(yǒu)隐藏文(wén)件夹。;  
  • %Application Data%\Chrome Browser
然后回車(chē)确认。
  • 一旦找到,请选择文(wén)件夹,然后按下SHIFT+DELETE彻底删除文(wén)件夹。
  • 对剩余的文(wén)件夹重复第2到4步:
       
      • %Application Data%\Chrome Browser

    • Step 5

    搜索和删除该文(wén)件

    [ 更多(duō) ]
    有(yǒu)些组件文(wén)件可(kě)能(néng)是隐藏的。请确认在高级选项中(zhōng)已选中(zhōng)搜索隐藏文(wén)件和文(wén)件夹复选框,使查找结果包括所有(yǒu)隐藏文(wén)件和文(wén)件夹。
    • %User Startup%\ChromeService.lnk

    Step 6

    重启进入正常模式,使用(yòng)亚信安(ān)全产(chǎn)品扫描计算机,检测RANSOM_CRYPTRITU.A文(wén)件 如果检测到的文(wén)件已被亚信安(ān)全产(chǎn)品清除、删除或隔离,则无需采取进一步措施。可(kě)以选择直接删除隔离的文(wén)件。请参阅知识库页(yè)面了解详细信息。

    Step 7

    重置Internet 安(ān)全设置

    [ 更多(duō) ]