Tiếp tục Phase 3:
Dùng PC Hunter để xóa file, reg mà virus đã tạo ra.
Sau đó thay lại hình nền của máy tính.
Registry: "HKEY_CURRENT_USER\Software\Rs" : Xóa ID và IsEncrypt
Xóa Flag trong "HKEY_CURRENT_USER\Software\whitehatdrill"
Xóa file ransomware.exe trong C:\Windows\Temp và xóa file phát...
Phase 3: Sử dụng System Explorer để kiểm tra sự thay đổi trước và sau khi kích hoạt virus. Tạo 1 snapshot trước khi kích hoạt, 1 snapshot sau khi kích hoạt. Sau đó compare 2 snapshot đó để thấy thay đổi.
Virus đã tự động tải về file exe. (Hình 10)
+ Các file bị mã hóa có định dạng: .mp3. .doc...
Phase 2: Tiến hành cho phép port 3389, chặn các port còn lai.
Check trên Virustotal cho thấy file Diễn tập ANM - 1.doc là mã độc Ransomware tấn công sử dụng điểm yếu CVE-2017-0199. Mã độc được download tại link:
http://118.70.80.143:4448/ransomware_tb.exe,
http://118.70.80.143/getransomware.hta