新聞備忘錄2014-4月 - 此勒贖軟體可能通過聊天工具、電子郵件、惡意網站散播，或由其他病毒釋放而來。病毒行為： 1. 將自己複製後置放到下列目錄下： %Application Data%\{隨機字母的檔案名稱}.exe (注意: %Application Data% 是目前用戶的Application Data資料夾，在Windows 2000、XP、Server 2003中通常為C:\Documents and Settings\{帳號名稱}\Application Data，在Windows 7及以上版本作業系統中通常為 C:\Users\{user name}\AppData\Roaming.)。 2. 避免自己重複執行。 3. 會在機碼中添加自動啟動項目。 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run CryptoLocker = “%Application Data%\{隨機檔案名稱}.exe"。 4. 會新增以下登錄值： HKEY_CURRENT_USER\Software\CryptoLocker HKEY_CURRENT_USER\Software\CryptoLocker\Files Ransome3 其中子目錄「Files」中列出的是已被加密的檔案列表 5. 該病毒會連接以下網域以獲取加密的金鑰： gktibioivpqbot.net mlernipmrlrnjj.com lnjaadfliwshke.info kktvnsdykphojs.co.uk jmyeansxbbiibw.org qnamcbakhsitnw.ru ppfuovpjxejnoy.biz @ 筆平凡/景鴻的相簿

下一張下一張
下一張下一張

95 of 214

$此勒贖軟體可能通過聊天工具、電子郵件、惡意網站散播，或由其他病毒釋放而來。病毒行為： 1. 將自己複製後置放到下列目錄下： %Application Data%\{隨機字母的檔案名稱}.exe (注意: %Application Data% 是目前用戶的Application Data資料夾，在Windows 2000、XP、Server 2003中通常為C:\Documents and Settings\{帳號名稱}\Application Data，在Windows 7及以上版本作業系統中通常為 C:\Users\{user name}\AppData\Roaming.)。 2. 避免自己重複執行。 3. 會在機碼中添加自動啟動項目。 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run CryptoLocker = “%Application Data%\{隨機檔案名稱}.exe"。 4. 會新增以下登錄值： HKEY_CURRENT_USER\Software\CryptoLocker HKEY_CURRENT_USER\Software\CryptoLocker\Files Ransome3 其中子目錄「Files」中列出的是已被加密的檔案列表 5. 該病毒會連接以下網域以獲取加密的金鑰： gktibioivpqbot.net mlernipmrlrnjj.com lnjaadfliwshke.info kktvnsdykphojs.co.uk jmyeansxbbiibw.org qnamcbakhsitnw.ru ppfuovpjxejnoy.biz$