RANSOM_NETIX.A

2017年1月24日

分(fēn)析者: Marvelous Pelin

平台:

Windows

总體(tǐ)风险等级:

潜在破坏:

潜在分(fēn)布:

感染次数:

信息暴露:

恶意软件类型:
Trojan
有(yǒu)破坏性？:
没有(yǒu)
加密？:
是的
In the Wild:
是的

概要

感染途徑: 下降了其他(tā)恶意软件, 从互联网上下载

它以其他(tā)恶意软件释放的文(wén)件或用(yòng)户访问恶意网站时不知不觉下载的文(wén)件的形式到达系统。它开始执行然后再删除。

技(jì )术详细信息

文(wén)件大小(xiǎo): 133,632 bytes

报告日期: EXE

内存驻留: 没有(yǒu)

初始樣本接收日期: 2017年1月25日

Payload: 植入文(wén)件

安(ān)装(zhuāng)

它植入下列文(wén)件：

%Desktop%\Instructions.txt - Ransom Note
%User Temp%\info.txt

(注意: %Desktop% 是当前用(yòng)户的桌面，通常位于 C:\Windows\Profiles\{user name}\Desktop (Windows 98 和 ME)、C:\WINNT\Profiles\{user name}\Desktop (Windows NT) 和 C:\Documents and Settings\{User Name}\桌面 (Windows 2000、XP 和 Server 2003)。. %User Temp% 是当前用(yòng)户的 Temp 文(wén)件夹。通常位于 C:\Documents and Settings\{user name}\Local Settings\Temp (Windows 2000、XP 和 Server 2003)。)

它植入和执行下列文(wén)件：

%User Temp%\Netflix Login Generator v1.1.exe - fake generator

(注意: %User Temp% 是当前用(yòng)户的 Temp 文(wén)件夹。通常位于 C:\Documents and Settings\{user name}\Local Settings\Temp (Windows 2000、XP 和 Server 2003)。)

它在受感染的系统中(zhōng)植入下列自身副本：

%Application Data%\Microsoft\ScreenToGif\netprotocol.exe - executed afterwards

(注意: %Application Data% 是当前用(yòng)户的 Application Data 文(wén)件夹，通常位于 C:\Windows\Profiles\{user name}\Application Data (Windows 98 和 ME)、C:\WINNT\Profiles\{user name}\Application Data (Windows NT) 和 C:\Documents and Settings\{user name}\Local Settings\Application Data (Windows 2000、XP 和 Server 2003)。)

其他(tā)系统修改

它添加下列注册表键值作(zuò)為(wèi)其安(ān)装(zhuāng)例程的一部分(fēn):

HKEY_CURRENT_USER\Control Panel\Desktop
Wallpaper = %User Profile%\ransom.jpg

下载例程

它访问下列网站下载文(wén)件：

http://{BLOCKED}.{BLOCKED}.173.155/images/BG.jpg

它使用(yòng)下列文(wén)件名(míng)保存下载的文(wén)件：

%User Profile%\ransom.jpg - image used as wallpaper

(注意: %User Profile% 是当前用(yòng)户的概要文(wén)件文(wén)件夹，通常位于 C:\Windows\Profiles\{user name} (Windows 98 和 ME)、C:\WINNT\Profiles\{user name} (Windows NT) 和 C:\Documents and Settings\{user name} (Windows 2000、XP 和 Server 2003)。)

其他(tā)详细信息

它连接到下列网站，发送和接收信息：

http://{BLOCKED}.{BLOCKED}.173.155/createkeys.php
http://{BLOCKED}.{BLOCKED}.173.155/savekey.php
http://{BLOCKED}.{BLOCKED}.173.155/getid.php

它使用(yòng)下列扩展名(míng)加密文(wén)件：

.ai
.asp
.aspx
.avi
.bmp
.csv
.doc
.docx
.epub
.flp
.flv
.gif
.html
.itdb
.itl
.jpg
.m4a
.mdb
.mkv
.mp3
.mp4
.mpeg
.odt
.pdf
.php
.png
.ppt
.pptx
.psd
.py
.rar
.sql
.txt
.wma
.wmv
.xls
.xlsx
.xml
.zip

它使用(yòng)下列名(míng)称重命名(míng)加密文(wén)件：

{original filename and extension}.se

解决方案

最小(xiǎo)扫描引擎: 9.800

First VSAPI Pattern File: 13.180.06

VSAPI 第一样式发布日期: 2017年1月25日

VSAPI OPR样式版本: 13.181.00

VSAPI OPR样式发布日期: 2017年1月26日

Step 1

对于Windows ME和XP用(yòng)户，在扫描前，请确认已禁用(yòng)系统还原功能(néng)，才可(kě)全面扫描计算机。

Step 3

重启进入安(ān)全模式

[ 更多(duō) ]

Step 4

搜索和删除该文(wén)件

[ 更多(duō) ]

有(yǒu)些组件文(wén)件可(kě)能(néng)是隐藏的。请确认在高级选项中(zhōng)已选中(zhōng)搜索隐藏文(wén)件和文(wén)件夹复选框，使查找结果包括所有(yǒu)隐藏文(wén)件和文(wén)件夹。

%User Profile%\ransom.jpg
%Desktop%\Instructions.txt
%User Temp%\info.txt
%User Temp%\Netflix Login Generator v1.1.exe

Step 5

重置桌面壁纸

[ 更多(duō) ]

Step 6

重启进入正常模式，使用(yòng)亚信安(ān)全产(chǎn)品扫描计算机，检测RANSOM_NETIX.A文(wén)件如果检测到的文(wén)件已被亚信安(ān)全产(chǎn)品清除、删除或隔离，则无需采取进一步措施。可(kě)以选择直接删除隔离的文(wén)件。请参阅知识库页(yè)面了解详细信息。