浦东新区安防监控公司:Crysis勒索病毒“海贼王”变种预警
- 发布时间:2020-03-03 21:34:48 作者:上海监控安装公司
-
浦东新区安防监控公司:Crysis勒索病毒“海贼王”变种预警
广东省网络安全应急响应平台技术支撑单位深信服安全近日追踪到Crysis勒索病毒家族最新变种“海贼王”利用企业网络安全防护薄弱时期,对多个用户发起攻击,通过RDP暴力破解入侵加密,由于近期新冠疫情导致复工困难,企业用户在遭到该勒索病毒加密后难以第一时间进行响应和加固,造成巨大损失。
该勒索病毒变种界面是一个“海盗”标志,并且黑客联系邮箱为“wang_team888@aol.com”,其中的“wang”疑似代表中文的“王”字:
并且加密文件的后缀被改为“ROGER”,也就是传说中海贼王的名字:
02
预警概要
03
详细分析
从种种特征来看,这貌似是一种新的勒索病毒,然而,经过深信服安全专家的深入分析,发现病毒样本其实是臭名昭著的Crysis勒索病毒家族最新变种。安全专家对此次发现的病毒文件提取相关payload,与Crysis勒索病毒文件 payload 进行对比,代码相似度极高,可以确定其为Crysis家族变种:
Crysis最早在2016年6月被国外安全专家发现加入了勒索功能,在2017年5月万能密钥被公布之后,消失了一段时间,后来一直很活跃,攻击方法主要是通过远程RDP爆力破解的方式,植入到用户的服务器进行攻击,由于Crysis采用AES+RSA的加密方式,目前无法解密。
Crysis的勒索界面标志通常是一个“锁”的图标,而此次发现变种的勒索界面风格与以往变种相比发生了较大变化,如下为以往变种的勒索界面:
详细分析
此次捕获到的Crysis与之前样本一致,其整体的功能流程图如下所示:
1.病毒首先拷贝自身到如下目录:
%windir%\System32
%appdata%
%sh(Startup)%
%sh(Common Startup)%
2.将拷贝的病毒文件设置为自启动项:
3.调用cmd命令删除磁盘卷影,防止通过数据恢复的方式还原文件,如下:
4.枚举服务并结束如下服务:
Windows Update
Wuauserv
Windows Search
WSearch
Security Center
Wscsvc
WMI Performance Adapter
5.枚举进程并结束如下进程:
1c8.exe
1cv77.exe
outlook.exe
postgres.exe
mysqld-nt.exe
mysqld.exe
sqlserver.exe
6.遍历局域网共享目录,并加密:
7.遍历本地磁盘,并加密:
8.加密对象为特定后缀名的文件,包括“.1cd”、“.3ds”、“.3fr”等,如下:
9.加密后的文件的后缀为:.id-8ECF3B49.[wang_team888@aol.com].ROGER,如下:
10.弹出勒索信息界面,并设置为自启动注册表项,如下所示:
04
影响范围
目前我国江苏、湖南等地区已发现有企业遭到攻击。
05
解决方案
病毒防御
目前大部分勒索病毒加密后的文件都无法解密,针对已经出现勒索现象的用户,由于暂时没有解密工具,建议尽快对感染主机进行断网隔离。
日常防范措施:
1、及时给电脑打补丁,修复漏洞。
2、对重要的数据文件定期进行非本地备份。
3、不要点击来源不明的邮件附件,不从不明网站下载软件。
4、尽量关闭不必要的文件共享权限。
5、更改账户密码,设置强密码,避免使用统一的密码,因为统一的密码会导致一台被攻破,多台遭殃。
6、如果业务上无需使用RDP的,建议关闭RDP。当出现此类事件时,推荐使用深信服防火墙,或者终端检测响应平台(EDR)的微隔离功能对3389等端口进行封堵,防止扩散!
7、防火墙开启防爆破功能并启用11080051、11080027、11080016规则,EDR开启防爆破功能可进行防御。最后,建议企业对全网进行一次安全检查和杀毒扫描,加强防护工作。
深信服安全为广大用户免费提供查杀工具,可下载如下工具,进行检测查杀。
64位系统下载链接:
http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z
32位系统下载链接:
http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z
- 上一篇 返回首页 打印 返回上页 下一篇