<strike id="h3xn3"><del id="h3xn3"><b id="h3xn3"></b></del></strike>

<form id="h3xn3"></form>

          歡迎來到上海監控安裝公司網站!
          您的位置: 上海監控安裝 > 安防動態 > 行業新聞 > 浦東新區安防監控公司:Crysis勒索病毒“海賊王”變種預警

          浦東新區安防監控公司:Crysis勒索病毒“海賊王”變種預警

          發布時間:2020-03-03 21:34:48   作者:上海監控安裝公司

          浦東新區安防監控公司:Crysis勒索病毒“海賊王”變種預警

          廣東省網絡安全應急響應平臺技術支撐單位深信服安全近日追蹤到Crysis勒索病毒家族最新變種“海賊王”利用企業網絡安全防護薄弱時期,對多個用戶發起攻擊,通過RDP暴力破解入侵加密,由于近期新冠疫情導致復工困難,企業用戶在遭到該勒索病毒加密后難以第一時間進行響應和加固,造成巨大損失。

          該勒索病毒變種界面是一個“海盜”標志,并且黑客聯系郵箱為“wang_team888@aol.com”,其中的“wang”疑似代表中文的“王”字:



          并且加密文件的后綴被改為“ROGER”,也就是傳說中海賊王的名字:


          02
          預警概要



          03
          詳細分析

          從種種特征來看,這貌似是一種新的勒索病毒,然而,經過深信服安全專家的深入分析,發現病毒樣本其實是臭名昭著的Crysis勒索病毒家族最新變種。安全專家對此次發現的病毒文件提取相關payload,與Crysis勒索病毒文件 payload 進行對比,代碼相似度極高,可以確定其為Crysis家族變種:



          Crysis最早在2016年6月被國外安全專家發現加入了勒索功能,在2017年5月萬能密鑰被公布之后,消失了一段時間,后來一直很活躍,攻擊方法主要是通過遠程RDP爆力破解的方式,植入到用戶的服務器進行攻擊,由于Crysis采用AES+RSA的加密方式,目前無法解密。



          Crysis的勒索界面標志通常是一個“鎖”的圖標,而此次發現變種的勒索界面風格與以往變種相比發生了較大變化,如下為以往變種的勒索界面:

          詳細分析
          此次捕獲到的Crysis與之前樣本一致,其整體的功能流程圖如下所示:



          1.病毒首先拷貝自身到如下目錄:
          %windir%\System32
          %appdata%
          %sh(Startup)%
          %sh(Common Startup)%



          2.將拷貝的病毒文件設置為自啟動項:



          3.調用cmd命令刪除磁盤卷影,防止通過數據恢復的方式還原文件,如下:



          4.枚舉服務并結束如下服務:
          Windows Update
          Wuauserv
          Windows Search
          WSearch
          Security Center
          Wscsvc
          WMI Performance Adapter



          5.枚舉進程并結束如下進程:
          1c8.exe
          1cv77.exe
          outlook.exe
          postgres.exe
          mysqld-nt.exe
          mysqld.exe
          sqlserver.exe



          6.遍歷局域網共享目錄,并加密:



          7.遍歷本地磁盤,并加密:



          8.加密對象為特定后綴名的文件,包括“.1cd”、“.3ds”、“.3fr”等,如下:



          9.加密后的文件的后綴為:.id-8ECF3B49.[wang_team888@aol.com].ROGER,如下:



          10.彈出勒索信息界面,并設置為自啟動注冊表項,如下所示:



          04
          影響范圍

          目前我國江蘇、湖南等地區已發現有企業遭到攻擊。

          05
          解決方案

          病毒防御
          目前大部分勒索病毒加密后的文件都無法解密,針對已經出現勒索現象的用戶,由于暫時沒有解密工具,建議盡快對感染主機進行斷網隔離。

          日常防范措施:
          1、及時給電腦打補丁,修復漏洞。
          2、對重要的數據文件定期進行非本地備份。
          3、不要點擊來源不明的郵件附件,不從不明網站下載軟件。
          4、盡量關閉不必要的文件共享權限。
          5、更改賬戶密碼,設置強密碼,避免使用統一的密碼,因為統一的密碼會導致一臺被攻破,多臺遭殃。
          6、如果業務上無需使用RDP的,建議關閉RDP。當出現此類事件時,推薦使用深信服防火墻,或者終端檢測響應平臺(EDR)的微隔離功能對3389等端口進行封堵,防止擴散!
          7、防火墻開啟防爆破功能并啟用11080051、11080027、11080016規則,EDR開啟防爆破功能可進行防御。

          最后,建議企業對全網進行一次安全檢查和殺毒掃描,加強防護工作。
          深信服安全為廣大用戶免費提供查殺工具,可下載如下工具,進行檢測查殺。
          64位系統下載鏈接:
          http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z
          32位系統下載鏈接:
          http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z


          上一篇   返回首頁  打印  返回上頁  下一篇

          成功案例

          彩宝网平台