RANSOM_HPCERBER.SM6

2016年11月15日

分(fēn)析者: Francis Xavier Antazo

Ransom:Win32/Cerber!rfn (Microsoft); Win32/Filecoder.Cerber.B (ESET); Ransom.Cerber!g10 (Symantec); Ransom.Cerber (Malwarebytes);

平台:

Windows

总體(tǐ)风险等级:

潜在破坏:

潜在分(fēn)布:

感染次数:

信息暴露:

恶意软件类型:
Trojan
有(yǒu)破坏性？:
没有(yǒu)
加密？:
是的
In the Wild:
是的

概要

感染途徑: 从互联网上下载

它以其他(tā)恶意软件释放的文(wén)件或用(yòng)户访问恶意网站时不知不觉下载的文(wén)件的形式到达系统。它开始执行然后再删除。

技(jì )术详细信息

文(wén)件大小(xiǎo): 237183 bytes

报告日期: EXE

内存驻留: 是的

初始樣本接收日期: 2016年11月4日

Payload: 显示消息/消息框, 显示图形/图片

新(xīn)病毒详细信息

它可(kě)能(néng)是由遠(yuǎn)程站点的其他(tā)恶意软件/灰色软件/间谍软件下载而来。

安(ān)装(zhuāng)

它植入下列文(wén)件：

{folders containing encrypted files}\README.hta
%User Temp%\{random file name}.bmp

(注意: %User Temp% 是当前用(yòng)户的 Temp 文(wén)件夹。通常位于 C:\Documents and Settings\{user name}\Local Settings\Temp (Windows 2000、XP 和 Server 2003)。)

其他(tā)系统修改

它添加下列注册表项：

HKEY_CURRENT_USER\Control Panel\Desktop
Wallpaper = %User Temp%\{random file name}.bmp

进程终止

它终止在受感染的系统内存中(zhōng)运行的下列进程：

msftesql.exe
sqlagent.exe
sqlbrowser.exe
sqlservr.exe
sqlwriter.exe
oracle.exe
ocssd.exe
dbsnmp.exe
synctime.exe
mydesktopqos.exe
agntsvc.exeisqlplussvc.exe
xfssvccon.exe
mydesktopservice.exe
ocautoupds.exe
agntsvc.exeagntsvc.exe
agntsvc.exeencsvc.exe
firefoxconfig.exe
tbirdconfig.exe
ocomm.exe
mysqld.exe
mysqld-nt.exe
mysqld-opt.exe
dbeng50.exe
sqbcoreservice.exe

信息窃取

它收集下列数据:

MD5_KEY
PARTNER_ID
OS
IS_X64
IS_ADMIN
COUNT_FILES
STOP_REASON

其他(tā)详细信息

它使用(yòng)下列扩展名(míng)加密文(wén)件：

.accdb
.mdb
.mdf
.dbf
.vpd
.sdf
.sqlitedb
.sqlite3
.sqlite
.sql
.sdb
.doc
.docx
.odt
.xls
.xlsx
.ods
.ppt
.pptx
.odp
.pst
.dbx
.wab
.tbk
.pps
.ppsx
.pdf
.jpg
.tif
.pub
.one
.rtf
.csv
.docm
.xlsm
.pptm
.ppsm
.xlsb
.dot
.dotx
.dotm
.xlt
.xltx
.xltm
.pot
.potx
.potm
.xps
.wps
.xla
.xlam
.erbsql
.sqlite-shm
.sqlite-wal
.litesql
.ndf
.ost
.pab
.oab
.contact
.jnt
.mapimail
.msg
.prf
.rar
.txt
.xml
.zip
.1cd
.3ds
.3g2
.3gp
.7z
.7zip
.aoi
.asf
.asp
.aspx
.asx
.avi
.bak
.cer
.cfg
.class
.config
.css
.dds
.dwg
.dxf
.flf
.flv
.html
.idx
.js
.key
.kwm
.laccdb
.ldf
.lit
.m3u
.mbx
.md
.mid
.mlb
.mov
.mp3
.mp4
.mpg
.obj
.pages
.php
.psd
.pwm
.rm
.safe
.sav
.save
.srt
.swf
.thm
.vob
.wav
.wma
.wmv
.3dm
.aac
.ai
.arw
.c
.cdr
.cls
.cpi
.cpp
.cs
.db3
.drw
.dxb
.eps
.fla
.flac
.fxg
.java
.m
.m4v
.max
.pcd
.pct
.pl
.ppam
.ps
.pspimage
.r3d
.rw2
.sldm
.sldx
.svg
.tga
.xlm
.xlr
.xlw
.act
.adp
.al
.bkp
.blend
.cdf
.cdx
.cgm
.cr2
.crt
.dac
.dcr
.ddd
.design
.dtd
.fdb
.fff
.fpx
.h
.iif
.indd
.jpeg
.mos
.nd
.nsd
.nsf
.nsg
.nsh
.odc
.oil
.pas
.pat
.pef
.pfx
.ptx
.qbb
.qbm
.sas7bdat
.say
.st4
.st6
.stc
.sxc
.sxw
.tlg
.wad
.xlk
.aiff
.bin
.bmp
.cmt
.dat
.dit
.edb
.flvv
.gif
.groups
.hdd
.hpp
.m2ts
.m4p
.mkv
.mpeg
.nvram
.ogg
.pdb
.pif
.png
.qed
.qcow
.qcow2
.rvt
.st7
.stm
.vbox
.vdi
.vhd
.vhdx
.vmdk
.vmsd
.vmx
.vmxf
.3fr
.3pr
.ab4
.accde
.accdr
.accdt
.ach
.acr
.adb
.ads
.agdl
.ait
.apj
.asm
.awg
.back
.backup
.backupdb
.bank
.bay
.bdb
.bgt
.bik
.bpw
.cdr3
.cdr4
.cdr5
.cdr6
.cdrw
.ce1
.ce2
.cib
.craw
.crw
.csh
.csl
.db_journal
.dc2
.dcs
.ddoc
.ddrw
.der
.des
.dgc
.djvu
.dng
.drf
.dxg
.eml
.erf
.exf
.ffd
.fh
.fhd
.gray
.grey
.gry
.hbk
.ibank
.ibd
.ibz
.iiq
.incpas
.jpe
.kc2
.kdbx
.kdc
.kpdx
.lua
.mdc
.mef
.mfw
.mmw
.mny
.moneywell
.mrw
.myd
.ndd
.nef
.nk2
.nop
.nrw
.ns2
.ns3
.ns4
.nwb
.nx2
.nxl
.nyf
.odb
.odf
.odg
.odm
.orf
.otg
.oth
.otp
.ots
.ott
.p12
.p7b
.p7c
.pdd
.mts
.plus_muhd
.plc
.psafe3
.py
.qba
.qbr
.qbw
.qbx
.qby
.raf
.rat
.raw
.rdb
.rwl
.rwz
.s3db
.sd0
.sda
.sr2
.srf
.srw
.st5
.st8
.std
.sti
.stw
.stx
.sxd
.sxg
.sxi
.sxm
.tex
.wallet
.wb2
.wpd
.x11
.x3f
.xis
.ycbcra
.yuv
.mab
.json
.msf
.jar
.cdb
.srb
.abd
.qtb
.cfn
.info
.info_
.flb
.def
.atb
.tbn
.tbb
.tlx
.pml
.pmo
.pnx
.pnc
.pmi
.pmm
.lck
.pm!
.pmr
.usr
.pnd
.pmj
.pm
.lock
.srs
.pbf
.omg
.wmf
.sh
.war
.ascx
.k2p
.apk
.asset
.bsa
.d3dbsp
.das
.forge
.iwi
.lbf
.litemod
.ltx
.m4a
.re4
.slm
.tiff
.upk
.xxx
.money
.cash
.private
.cry
.vsd
.tax
.gbr
.dgn
.stl
.gho
.ma
.acc
.db

它使用(yòng)下列名(míng)称重命名(míng)加密文(wén)件：

{10 Random Characters}.{4 Random}

解决方案

最小(xiǎo)扫描引擎: 9.800

First VSAPI Pattern File: 12.888.04

VSAPI 第一样式发布日期: 2016年11月9日

VSAPI OPR样式版本: 12.889.00

VSAPI OPR样式发布日期: 2016年11月10日

Step 1

对于Windows ME和XP用(yòng)户，在扫描前，请确认已禁用(yòng)系统还原功能(néng)，才可(kě)全面扫描计算机。

Step 2

搜索和删除该文(wén)件

[ 更多(duō) ]

有(yǒu)些组件文(wén)件可(kě)能(néng)是隐藏的。请确认在高级选项中(zhōng)已选中(zhōng)搜索隐藏文(wén)件和文(wén)件夹复选框，使查找结果包括所有(yǒu)隐藏文(wén)件和文(wén)件夹。

{folders containing encrypted files}\README.hta
%User Temp%\{random file name}.bmp

Step 3

删除该注册表值

[ 更多(duō) ]

注意事项：错误编辑Windows注册表会导致不可(kě)挽回的系统故障。只有(yǒu)在您掌握后或在系统管理(lǐ)员的帮助下才能(néng)完成这步。或者，请先阅读Microsoft文(wén)章，然后再修改计算机注册表。

In HKEY_CURRENT_USER\Control Panel\Desktop
- Wallpaper = "%User Temp%\{random file name}.bmp"

Step 4

使用(yòng)亚信安(ān)全产(chǎn)品扫描计算机，并删除检测到的RANSOM_HPCERBER.SM6文(wén)件如果检测到的文(wén)件已被亚信安(ān)全产(chǎn)品清除、删除或隔离，则无需采取进一步措施。可(kě)以选择直接删除隔离的文(wén)件。请参阅知识库页(yè)面了解详细信息。