:::
:::首頁 > 網路安全服務 > 政府網路危機處理中心 > 最新訊息
 
 
ICON 最新訊息 ICON 相關服務
ICON 中心簡介 ICON 相關網站
最新訊息
 
病毒通告
分隔線
Ransom.Locky.B 木馬透過開啟電子郵件下載惡意程式進行感染,請勿開啟任何可疑的檔案並提高警覺!(2017/12/28)
 
詳細描述:

若受感染木馬會創建以下文件:
%SystemDrive%Documents and SettingsAll UsersDesktoplukitus.bmp
%SystemDrive%Documents and SettingsAll UsersDesktoplukitus.htm

第二步,新增下列登錄機碼與登錄項目:
HKEY_CURRENT_USER Control Panel Desktop “TileWallpaper”=“0”
HKEY_CURRENT_USER Control Panel Desktop “Wallpaper”=“lukitus.bmp”

第三步,該木馬會創建以下威脅行為:
LocalEa5aGaCaBa1aDaEaGa9a4aDa9a3a5aEa
GlobalEa5aGaCaBa1aDaEaGa9a4aDa9a3a5aEa
Global3aEa4aBaBa6a:a:aCaDa9aFaCa9a4aEa
Local3aEa4aBaBa6a:a:aCaDa9aFaCa9a4aEa

最後,該木馬會自行遠端連線至下列惡意網站:
http://192.162.[REMOVED].213/imageload.cgi
http://185.17.[REMOVED].130/imageload.cgi
http://46.17.[REMOVED].153/imageload.cgi
http://46.183.[REMOVED].45/imageload.cgi
http://5.196.[REMOVED].239/imageload.cgi
http://5.188.[REMOVED].30/imageload.cgi

檔案感染類型:
.7zip
.SQLITE3
.SQLITEDB
.accdb
.accde
.accdr
.accdt
.agdl
.aiff
.aspx
.asset
.asset
.back
.backup
.backupdb
.bank
.blend
.cdr3
.cdr4
.cdr5
.cdr6
.cdrw
.class
.class
.config
.contact
.craw
.d3dbsp
.db_journal
.ddoc
.ddrw
.design
.djvu
.djvu
.docb
.docm
.docm
.docx
.docx
.dotm
.dotm
.dotx
.dotx
.erbsql
.flac
.flvv
.forge
.gray
.grey
.groups
.html
.ibank
.incpas
.indd
.java
.java
.jpeg
.jpeg
.kdbx
.kpdx
.laccdb
.lay6
.litemod
.litesql
.m2ts
.mapimail
.moneywell
.mpeg
.mpeg
.ms11
.nvram
.onetoc2
.pages
.plus_muhd
.potm
.potm
.potx
.potx
.ppam
.ppam
.ppsm
.ppsm
.ppsm
.ppsx
.ppsx
.pptm
.pptm
.pptm
.pptx
.pptx
.psafe3
.pspimage
.qcow
.qcow2
.qcow2
.s3db
.safe
.sas7bdat
.save
.sldm
.sldm
.sldx
.sldx
.sqlite
.sqlite3
.sqlitedb
.tar.bz2
.tiff
.vbox
.vhdx
.vmdk
.vmdk
.vmsd
.vmxf
.wallet
.wallet
.wallet.dat
.xlam
.xlsb
.xlsb
.xlsm
.xlsm
.xlsx
.xlsx
.xltm
.xltm
.xltx
.xltx
.ycbcra

木馬使用以下方式重命名加密文件:
[8 RANDOM CHARACTERS]-[4 RANDOM CHARACTERS]-[4 RANDOM CHARACTERS]-[8 RANDOM CHARACTERS]-[12 RANDOM CHARACTERS].lukitus

HiNet SOC 建議您勿瀏覽可疑或惡意網站以及開啟任何可疑的檔案或郵件,定期備份重要檔案,為應用軟體和作業系統安裝修補程式,將其更新至最新版本,與安裝防毒軟體且更新至最新病毒碼來降低受駭風險。

 
受影響系統:
  • Windows
 
解決辦法:

若不慎已感染此病毒,建議處理方式如下:

1、刪除及修復登錄機碼與登錄項目
2、刪除可疑的檔案
3、請更新防毒軟體之病毒碼定義檔到最新
4、請利用防毒軟體進行全系統掃描
5、如果以上步驟仍無法順利清除病毒,建議您參考以下防毒廠商提供之步驟處理:
  • Symantec

  •  
     
    下框