:::
:::首頁 > 網路安全服務 > 政府網路危機處理中心 > 最新訊息
 
 
ICON 最新訊息 ICON 相關服務
ICON 中心簡介 ICON 相關網站
最新訊息
 
病毒通告
分隔線
RANSOM_WANA.A 勒索軟體透過利用Microsoft Windows 作業系統的漏洞MS17-010 進行感染,請安裝修補程式並提高警覺!(2017/05/18)
 
詳細描述:

它會將本身的下列副本放置到受影響的系統並執行它們:
%ProgramData%{random} asksche.exe

它使用以下名稱重命名加密文件:
{original filename}.WNCRY

它會建立下列資料夾與多個元件檔案:
%ProgramData%{random} ← malware path
%ProgramData%{random}msg ← language notes
%ProgramData%{random}TaskData
%ProgramData%{random}TaskDataData
%ProgramData%{random}TaskDataDataTor
%ProgramData%{random}TaskDataTor
%All User Profile%{random}msg ← language notes
%All User Profile%{random}TaskData
%All User Profile%{random}TaskDataData
%All User Profile%{random}TaskDataDataTor
%All User Profile%{random}TaskDataTor

它會新增下列登錄項目,使其在每次系統啟動時自動執行:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun{random} = "%ProgramData%{random} asksche.exe"

新增下列登錄機碼與登錄項目:
HKEY_CURRENT_USERSoftwareClassesVirtualStoreMACHINESOFTWAREWanaCrypt0r
HKEY_CURRENT_USERSoftwareWanaCrypt0rwd = "%ProgramData%{random}"

它利用以下漏洞:
Microsoft安全公告MS17-010

它會加密副檔名如下的檔案:
.123.3dm.3ds.3g2.3gp.602.7z.ARC.PAQ.accdb.aes.ai.asc.asf.asm.asp.avi.backup .bak.bat.bmp.brd.bz2.cgm.class.cmd.cpp.crt.cs.csr.csv.db.dbf.dch.der.dif.dip .djvu.doc.docb.docm.docx.dot.dotm.dotx.dwg.edb.eml.fla.flv.frm.gif.gpg.gz.hwp .ibd.iso.jar.java.jpeg.jpg.js.jsp.key.lay.lay6.ldf.m3u.m4u.max.mdb.mdf.mid .mkv.mml.mov.mp3.mp4.mpeg.mpg.msg.myd.myi.nef.odb.odg.odp.ods.odt.onetoc2 .ost.otg.otp.ots.ott.p12.pas.pdf.pem.pfx.php.pl.png.pot.potm.potx.ppam.pps .ppsm.ppsx.ppt.pptm.pptx.ps1.psd.pst.rar.raw.rb.rtf.sch.sh.sldm.sldx.slk .sln.snt.sql.sqlite3.sqlitedb.stc.std.sti.stw.suo.svg.swf.sxc.sxd.sxi.sxm .sxw.tar.tbk.tgz.tif.tiff.txt.uop.uot.vb.vbs.vcd.vdi.vmdk.vmx.vob.vsd.vsdx .wav.wb2.wk1.wks.wma.wmv.xlc.xlm.xls.xlsb.xlsm.xlsx.xlt.xltm.xltx.xlw.zip
並顯示要求支付贖金之畫面。

HiNet SOC 建議您定期備份重要檔案,為應用軟體和作業系統安裝修補程式(MS17-010),將其更新至最新版本,與安裝防毒軟體且更新至最新病毒碼來降低受駭風險。

 
受影響系統:
  • Windows
 
解決辦法:

若不慎已感染此病毒,建議處理方式如下:

1、請關閉系統還原功能 (Windows Me/XP)
2、識別並終止所偵測到如 RANSOM_WANA.A 的檔案
3、刪除登錄機碼
4、搜尋並刪除特定資料夾及檔案
5、重新啟動至標準模式,並使用您的趨勢科技產品掃瞄電腦是否有偵測到如 RANSOM_WANA.A 的檔案,如果偵測到的檔案已被您的趨勢科技產品清除、刪除或隔離,則不需要進一步的動作
6、重設桌面內容
7、使用您的趨勢科技產品掃瞄電腦,以刪除所偵測到如 RANSOM_WANA.A
的檔案,如果偵測到的檔案已被您的趨勢科技產品清除、刪除或隔離,則不需要進一步的動作
8、如果以上步驟仍無法順利清除病毒,建議您參考以下防毒廠商提供之步驟處理:
  • Trend Micro

  •  
     
    下框