HEU_KMS_Activator_42.0.1.exe Trojan Wacatac - Звіт скану

Оновлено 1 year ago

Перевірено Malware Check

HEU_KMS_Activator_42.0.1.exe

Технічний аналіз

Ім'я файлу	HEU_KMS_Activator_42.0.1.exe
Тип файлу	PE32 executable (GUI) Intel 80386, for MS Windows, UPX compressed
Версія сканера	1.0.183.174
Версія бази даних	2024-07-29 07:00:19 UTC

⚠

Ransom.Win32.Wacatac.sa

Сімейство шкідливого ПЗ: Wacatac

Шкідливе ПЗ Wacatac демонструє множинні шкідливі можливості, включаючи крадіжку даних, компрометування системи та розгортання вторинних корисних навантажень. Може завантажувати додаткові компоненти шкідливого ПЗ, включаючи вимагальне ПЗ, для розширення впливу атаки.

N/A

Рівень виявлення

4,810,752

Розмір файлу (байти)

2024-07-29

Дата аналізу

Сканувати інший файл

Ідентифікація файлу

Тип хешу	Значення	Дія
MD5	46a752ebddbfb9178b336c4b968d8d23
SHA1	6bb0d73eae91f5df2cac682341dac44e5a35e7e4
SHA256	f5c0eb7d8744d25570c9a3b99d9df9b19088a4ce794d3c6af092634a24d56dfa
SHA512	8c03f4e9940b9e0fc63823d3fdf983c358307d5f51d9c17b078eebc3733a29599a44b0d641cb2f2c3d0d8c5950a5ed9ff9d5fd158d6cd7e4f9cf5495939ea5e8
ImpHash	21371b611d91188d602926b15db6bd48

PE-аналіз

Основна інформація

▼

Іконка	Хеш: a4c4c3657d701c87f6486f4961a8f5f6 Нечіткий: 686a8dcd4a4a8375e91cd5c498c35ae0 dHash: fe332755e51517cc
Базова адреса	`0x00400000`
Точка входу	`0x0091dd80`
Час компіляції	2024-01-09 16:03:46
Контрольна сума	0x00000000 (Фактична: 0x00496c2c)
Версія ОС	5.1
Підписи PEiD	`PE32 executable (GUI) Intel 80386, for MS Windows, UPX compressed`
Цифровий підпис	The PE file does not contain a certificate table.
Імпорти	18 бібліотек
Експорти	0 функцій
Ресурси	18 Ресурси
Секції	3 Секції

Інформація про версію

▼

FileVersion	42.0.1.0
Comments	KMS/数字权利/KMS38/OEM激活
FileDescription	HEU KMS Activator™
ProductVersion	42.0.1.0
LegalCopyright	知彼而知己
Productname	HEU KMS Activator
CompanyName	知彼而知己
OriginalFilename	HEU_KMS_Activator_v42.0.1
InternalName	HEU_KMS_Activator_v42.0.1
Translation	0x0804 0x04b0

PE-секції

▼

Назва	Віртуальна адреса	Віртуальний розмір	Фізичний розмір	Ентропія	Характеристики	MD5
`UPX0`	`0x00001000`	4,980,736 bytes	0 bytes	0.00 (Нормально)	`IMAGE_SCN_CNT_UNINITIALIZED_DATA\|IMAGE_SCN_MEM_EXECUTE\|IMAGE_SCN_MEM_READ\|IMAGE_SCN_MEM_WRITE`	`D41D8CD98F00B204E9800998ECF8427E`
`UPX1`	`0x004c1000`	385,024 bytes	381,440 bytes	7.93 (Запаковано/Зашифровано)	`IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_EXECUTE\|IMAGE_SCN_MEM_READ\|IMAGE_SCN_MEM_WRITE`	`E88F78EB2B0C0D4AB8C3D24E74BC7981`
`.rsrc`	`0x0051f000`	4,431,872 bytes	4,428,288 bytes	7.92 (Запаковано/Зашифровано)	`IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_READ\|IMAGE_SCN_MEM_WRITE`	`6C6B1403D6EFFDE292F1F47AA069CE46`

Попередження аналізу ентропії

2 секція(ї) з високою ентропією (≥7.5) виявлено - можливе пакування/шифрування

Аналіз ресурсів

▼

Всього ресурсів: 18 (4,434,542 байтів)

Тип ресурсу	Кількість	Загальний розмір	Відсоток
RT_ICON	6	288,144 байтів	6.5%
RT_STRING	7	8,900 байтів	0.2%
RT_RCDATA	1	4,134,961 байтів	93.2%
RT_GROUP_ICON	2	96 байтів	0%
RT_VERSION	1	812 байтів	0%
RT_MANIFEST	1	1,629 байтів	0%

Аналіз ланцюга сертифікатів

▼

Немає цифрових підписів

Цей файл не має цифрового підпису.

Наслідки для безпеки:

Неможливо перевірити особу видавця
Підвищений ризик безпеки при запуску цього файлу
Може викликати попередження безпеки на деяких системах

⚠ Цей файл не має цифрового підпису або ланцюг сертифікатів не може бути перевірений.
Будьте обережні при запуску непідписаних файлів з невідомих джерел.

Статус перевірки сертифіката

The PE file does not contain a certificate table.

Рекомендація: Перевірте джерело файлу та переконайтеся, що він походить від надійного видавця.

Видалення Ransom.Win32.Wacatac.sa

Gridinsoft має можливість виявляти та видаляти Ransom.Win32.Wacatac.sa без подальшого втручання користувача.

Завантажити Anti-Malware

Інструкції з видалення

Виконайте ці кроки, щоб повністю видалити загрозу з вашої системи

1
Завантажте Gridinsoft Anti-Malware — це швидке завантаження в 2 МБ, програма не сповільнить ваш ПК.
2
Запустіть інсталятор gsam-uk-install.exe. Встановлення займає близько 2 хвилин і не потребує перезавантаження.
3
Програма запускається одразу після встановлення. Ви побачите головну панель з кнопкою сканування в центрі.
4
Натисніть "Стандартне сканування" — це перевіряє всі місця, де зазвичай ховається шкідливе ПЗ: тимчасові папки, дані браузера, програми автозапуску та системні директорії.
5
Коли сканування знайде загрозу, натисніть "Очистити зараз". Видалення зазвичай відбувається миттєво, хоча деякі стійкі інфекції можуть потребувати перезавантаження.
6
Якщо з'явиться запит на перезавантаження, перезапустіть комп'ютер. Це очистить шкідливе ПЗ, що працювало в пам'яті, і забезпечить чистий запуск системи.

Важливо: Перед початком

Коротка порада: від'єднайтесь від інтернету перед скануванням. Деяке шкідливе ПЗ зв'язується з сервером для отримання інструкцій або завантаження додаткових компонентів. Якщо зараження серйозне, спочатку завантажтесь у безпечному режимі — це обмежує те, що може працювати, і полегшує очищення.

Залишити коментар

Поділіться своїми думками або спостереженнями щодо цього файлу. Чи погоджуєтесь ви з нашим висновком?

Ваш відгук може вплинути на наш рейтинг. Ваша електронна адреса залишиться конфіденційною і буде використана лише для зв'язку з вами за необхідності.

Signed in via Gridinsoft Portal · View profile

Ваша оцінка для

5 4 3 2 1

Gridinsoft Anti-Malware

Залишайтеся Без Шкідливого ПЗ: Тримайте Свій ПК Захищеним з Gridinsoft Anti-Malware

Gridinsoft Anti-Malware пропонує саме це — спокій з надійним, зручним рішенням, яке постійно оновлюється для боротьби з останніми загрозами. Розроблений експертами з кібербезпеки, він забезпечує захист у реальному часі та легке видалення шкідливого ПЗ. Це не просто про виявлення загроз; це про покращення вашого цифрового життя з безперервною безпекою. Спробуйте і відчуйте, як це — переглядати без турбот!

Gridinsoft Anti-Malware Спробуй зараз