RANSOM_EXMAS.B

它以其他(tā)恶意软件释放的文(wén)件或用(yòng)户访问恶意网站时不知不觉下载的文(wén)件的形式到达系统。它开始执行然后再删除。

安(ān)装(zhuāng)

它植入下列文(wén)件：

• %Desktop%\YOUR_FILES_ARE_DEAD.HTA - ransom note
• {folders containing encrypted files}\YOUR_FILES_ARE_DEAD.HTA - ransom note

(注意: %Desktop% 是当前用(yòng)户的桌面，通常位于 C:\Windows\Profiles\{user name}\Desktop (Windows 98 和 ME)、C:\WINNT\Profiles\{user name}\Desktop (Windows NT) 和 C:\Documents and Settings\{User Name}\桌面 (Windows 2000、XP 和 Server 2003)。)

它植入和执行下列文(wén)件：

• %User Startup%\svcproc.exe - detected as TSPY_GORYNYCH.A

(注意: %User Startup% 是当前用(yòng)户的启动文(wén)件夹，通常位于 C:\Windows\Profiles\{user name}\Start Menu\Programs\Startup (Windows 98 和 ME)、C:\WINNT\Profiles\{user name}\Start Menu\Programs\Startup (Windows NT) 和 C:\Documents and Settings\{User name}\「开始」菜单\程序\启动。)

自启动技(jì )术

它添加下列注册表项，在系统每次启动时自行执行：

HKCU\Software\Microsoft\
Windows\CurrentVersion\RunOnce
Adobe = {Malware Path}\{Malware Name}.exe

其他(tā)系统修改

它修改下列文(wén)件：

• It encrypts files and appends the extension .RARE1

其他(tā)详细信息

它使用(yòng)下列扩展名(míng)加密文(wén)件：

• bat
• bay
• bc6
• bc7
• bck
• bcp
• bdb
• bdp
• bdr
• bfa
• bgt
• bi8
• bib
• bic
• big
• bik
• bin
• bkf
• bkp
• bkup
• blend
• blob
• blp
• bmc
• bmf
• bml
• bmp
• boc
• bp2
• bp3
• bpk
• bpl
• bpw
• brd
• bsa
• bsk
• bsp
• btoa
• bvd
• bz2
• c
• cag
• cam
• camproj
• cap
• car
• cas
• cat
• cbf
• cbr
• cbz
• cc
• ccd
• ccf
• cch
• cd
• cdf
• cdi
• cdr
• cdr3
• cdr4
• cdr5
• cdr6
• cdrw
• cdx
• ce1
• ce2
• cef
• cer
• cert
• cfg
• cfm
• cfp
• cfr
• cgf
• cgi
• cgm
• cgp
• chk
• chml
• cib
• class
• clr
• cls
• clx
• cmd
• cmf
• cms
• cmt
• cnf
• cng
• cod
• col
• con
• conf
• config
• contact
• cp
• cpi
• cpio
• cpp
• cr2
• craw
• crd
• crt
• crw
• crwl
• crypt
• crypted
• cryptra
• cryptXXX
• cs
• csh
• csi
• csl
• cso
• csr
• css
• csv
• ctt
• cty
• cue
• cwf
• d3dbsp
• dac
• dal
• dap
• das
• dash
• dat
• database
• dayzprofile
• dazip
• db
• db_journal
• db0
• db3
• dba
• dbb
• dbf
• dbfv
• db-journal
• dbx
• dc2
• dc4
• dch
• dco
• dcp
• dcr
• dcs
• dcu
• ddc
• ddcx
• ddd
• ddoc
• ddrw
• dds
• default
• dem
• der
• des
• desc
• design
• desklink
• dev
• dex
• dfm
• dgc
• dic
• dif
• dii
• dim
• dime
• dip
• dir
• directory
• disc
• disk
• dit
• divx
• diz
• djv
• djvu
• dlc
• dmg
• dmp
• dng
• dob
• doc
• docb
• docm
• docx
• dot
• dotm
• dotx
• dox
• dpk
• dpl
• dpr
• drf
• drw
• dsk
• dsp
• dtd
• dvd
• dvi
• dvx
• dwg
• dxb
• dxe
• dxf
• dxg
• e4a
• edb
• efl
• efr
• efu
• efx
• eip
• elf
• emc
• emf
• eml
• enc
• enx
• epk
• eps
• epub
• eql
• erbsql
• erf
• err
• esf
• esm
• euc
• evo
• ex
• exf
• exif
• f90
• faq
• fcd
• fdb
• fdr
• fds
• ff
• ffd
• fff
• fh
• fhd
• fla
• flac
• flf
• flp
• flv
• flvv
• for
• forge
• fos
• fpenc
• fpk
• fpp
• fpx
• frm
• fsh
• fss
• fxg
• gadget
• gam
• gbk
• gbr
• gdb
• ged
• gfe
• gfx
• gho
• gif
• gif,.bmp
• gpg
• gpx
• gray
• grey
• grf
• groups
• gry
• hqx
• htm
• html
• htpasswd
• hvpl
• hwp
• ibank
• ibd
• ibooks
• ibz
• ico
• icxs
• idl
• idml
• idx
• ie5
• ie6
• ie7
• ie8
• ie9
• iff
• iif
• iiq
• img
• incpas
• indb
• indd
• indl
• indt
• ink
• inx
• ipa
• iso
• isu
• isz
• itdb
• itl
• itm
• iwd
• iwi
• jac
• jar
• jav
• java
• jbc
• jc
• jfif
• jge
• jgz
• jif
• jiff
• jks
• jnt
• jpc
• jpe
• jpeg
• jpf
• jpg
• jpw
• js
• json
• jsp
• just
• k25
• kc2
• kdb
• kdbx
• kdc
• kde
• key
• kf
• klq
• kml
• kmz
• kpdx
• kwd
• kwm
• laccdb
• lastlogin
• lay
• lay6
• layout
• lbf
• lbi
• lcd
• lcf
• lcn
• ldb
• ldf
• lgp
• lib
• lit
• litemod
• lngttarch2
• localstorage
• locky
• log
• lp2
• lpa
• lrf
• ltm
• ltr
• ltx
• lua
• lvivt
• lvl
• m
• m2
• m2ts
• m3u
• m3u8
• m4a
• m4p
• m4u
• m4v
• mag
• man
• map
• mapimail
• max
• mbox
• mbx
• mcd
• mcgame
• mcmeta
• mcrp
• md
• md0
• md1
• md2
• md3
• md5
• mdb
• mdbackup
• mdc
• mddata
• mdf
• mdl
• mdn
• mds
• mef
• menu
• meo
• mfd
• mfw
• mic
• mid
• mim
• mime
• mip
• mjd
• mkv
• mlb
• mlx
• mm6
• mm7
• mm8
• mme
• mml
• mmw
• mny
• mobi
• mod
• moneywell
• mos
• mov
• movie
• moz
• mp1
• mp2
• mp3
• mp4
• mp4v
• mpa
• mpe
• mpeg
• mpg
• mpq
• mpqge
• mpv2
• mrw
• mrwref
• ms11
• ms11(Securitycopy)
• mse
• msg
• msi
• msp
• mts
• mui
• mxp
• myd
• myi
• nav
• ncd
• ncf
• nd
• ndd
• ndf
• nds
• nef
• nfo
• nk2
• nop
• note
• now
• nrg
• nri
• nrw
• ns2
• ns3
• ns4
• nsd
• nsf
• nsg
• nsh
• ntl
• number
• nvram
• nwb
• nx1
• nx2
• nxl
• nyf
• oab
• obj
• odb
• odc
• odf
• odg
• odi
• odm
• odp
• ods
• odt
• oft
• oga
• ogg
• oil
• opd
• opf
• orf
• ost
• otg
• oth
• otp
• ots
• ott
• owl
• oxt
• p12
• p7b
• p7c
• pab
• pack
• pages
• pak
• paq
• pas
• pat
• pbf
• pbk
• pbp
• pbs
• pcd
• pct
• pcv
• pdb
• pdc
• pdd
• pdf
• pef
• pem
• pfx
• php
• pif
• pkb
• pkey
• pkh
• pkpass
• pl
• plb
• plc
• pli
• plugin
• plus_muhd
• pm
• pmd
• png
• po
• pot
• potm
• potx
• ppam
• ppd
• ppf
• ppj
• pps
• ppsm
• ppsx
• ppt
• pptm
• pptx
• prc
• prel
• prf
• priv
• privat
• props
• prproj
• prt
• ps
• psa
• psafe3
• psd
• psk
• pspimage
• pst
• psw6
• ptx
• pub
• puz
• pwf
• pwi
• pwm
• pxp
• py
• qba
• qbb
• qbm
• qbr
• qbw
• qbx
• qby
• qcow
• qcow2
• qdf
• qed
• qel
• qic
• qif
• qpx
• qt
• qtq
• qtr
• r00
• r01
• r02
• r03
• r3d
• ra
• ra2
• raf
• ram
• rar
• rat
• raw
• rb
• rdb
• rdi
• re4
• res
• result
• rev
• rgn
• rgss3a
• rim
• rll
• rm
• rng
• rofl
• rpf
• rrt
• rsdf
• rsrc
• rss
• rsw
• rte
• rtf
• rts
• rtx
• rum
• run
• rv
• rvt
• rw2
• rwl
• rwz
• rzk
• rzx
• s3db
• sad
• saf
• safe
• sas7bdat
• sav
• save
• say
• sb
• sc2save
• sch
• scm
• scn
• scx
• sd0
• sd1
• sda
• sdb
• sdc
• sdf
• sdn
• sdo
• sds
• sdt
• search-ms
• sef
• sen
• ses
• sfs
• sfx
• sgz
• sh
• shar
• shr
• shw
• shy
• sid
• sidd
• sidn
• sie
• sis
• sitx
• sldm
• sldx
• slk
• slm
• sln
• slt
• sme
• snk
• snp
• snx
• so
• spd
• spr
• sql
• sqlite
• sqlite3
• sqlitedb
• sqllite
• sqx
• sr2
• srf
• srt
• srw
• ssa
• st4
• st5
• st6
• st7
• st8
• stc
• std
• sti
• stm
• stt
• stw
• stx
• sud
• suf
• sum
• svg
• svi
• svr
• swd
• swf
• switch
• sxc
• sxd
• sxg
• sxi
• sxm
• sxw
• syncdb
• t01
• t03
• t05
• t12
• t13
• tar
• tar.bz2
• tarbz2
• tax
• tax2013
• tax2014
• tbk
• tbz2
• tch
• tcx
• teslacrypt
• tex
• text
• tg
• tga
• tgz
• thm
• thmx
• tif
• tiff
• tlb
• tlg
• tlz
• tmp
• toast
• tor
• torrent
• tpu
• tpx
• trp
• ts
• tu
• tur
• txd
• txf
• txt
• uax
• udf
• uea
• umx
• unity3d
• unr
• unx
• uop
• uot
• upk
• upoi
• url
• usa
• usx
• ut2
• ut3
• utc
• utx
• uu
• uud
• uue
• uvx
• uxx
• val
• vault
• vb
• vbox
• vbs
• vc
• vcd
• vcf
• vcxpro
• vdf
• vdi
• vdo
• ver
• vfs0
• vhd
• vhdx
• vlc
• vlt
• vmdk
• vmf
• vmsd
• vmt
• vmx
• vmxf
• vob
• vp
• vpk
• vpp_pc
• vsi
• vtf
• w3g
• w3x
• wab
• wad
• wallet
• war
• wav
• wave
• waw
• wb2
• wbk
• wdgt
• wks
• wm
• wma
• wmd
• wmdb
• wmmp
• wmo
• wmv
• wmx
• wotreplay
• wow
• wpd
• wpe
• wpk
• wpl
• wps
• wsf
• wsh
• wtd
• wtf
• wvx
• x11
• x3f
• xcodeproj
• xf
• xhtml
• xis
• xl
• xla
• xlam
• xlc
• xlk
• xll
• xlm
• xlr
• xls
• xlsb
• xlsm
• xlsx
• xlt
• xltm
• xltx
• xlv
• xlw
• xlwx
• xml
• xpi
• xps
• xpt
• xqx
• xsl
• xtbl
• xvid
• xwd
• xxe
• xxx
• yab
• ycbcra
• yenc
• yml
• ync
• yps
• yuv
• z02
• z04
• zap
• zip
• zipx
• zoo
• zps
• ztmp
• 001
• 1cd
• 3d
• 3d4
• 3df8
• 3dm
• 3ds
• 3fr
• 3g2
• 3ga
• 3gp
• 3gp2
• 3mm
• 3pr
• 7z
• 7zip
• 8ba
• 8bc
• 8be
• 8bf
• 8bi8
• 8bl
• 8bs
• 8bx
• 8by
• 8li
• a2c
• aa
• aa3
• aac
• aaf
• ab4
• abk
• abw
• ac2
• ac3
• accdb
• accde
• accdr
• accdt
• ace
• ach
• acr
• act
• adb
• ade
• adi
• adp
• adpb
• adr
• ads
• adt
• aep
• aepx
• aes
• aet
• afp
• agd1
• agdl
• ai
• aif
• aiff
• aim
• aip
• ais
• ait
• ak
• al
• allet
• alphacrypt
• amf
• amr
• amu
• amx
• amxx
• ans
• aoi
• ap
• ape
• api
• apj
• apk
• apnx
• app
• arc
• arch00
• ari
• arj
• aro
• arr
• arw
• as
• as3
• asa
• asc
• ascx
• ase
• asf
• ashx
• asm
• asmx
• asp
• aspx
• asr
• asset
• asx
• automaticdestinations-ms
• avi
• avs
• awg
• azf
• azs
• azw
• azw1
• azw3
• azw4
• b2a
• back
• backup
• backupdb
• bad
• bak
• bank
• bar
• gthr
• gxk
• gz
• gzig
• gzip
• h
• h3m
• h4r
• hbk
• hbx
• hdd
• hex
• hkdb
• hkx
• hplg
• hpp