歡迎來到上海監(jiān)控安裝公司網(wǎng)站!
您的位置: 上海監(jiān)控安裝 > 安防動態(tài) > 行業(yè)新聞 > 浦東新區(qū)安防監(jiān)控公司:Crysis勒索病毒“海賊王”變種預(yù)警

浦東新區(qū)安防監(jiān)控公司:Crysis勒索病毒“海賊王”變種預(yù)警

發(fā)布時間:2020-03-03 21:34:48   作者:上海監(jiān)控安裝公司

浦東新區(qū)安防監(jiān)控公司:Crysis勒索病毒“海賊王”變種預(yù)警

廣東省網(wǎng)絡(luò)安全應(yīng)急響應(yīng)平臺技術(shù)支撐單位深信服安全近日追蹤到Crysis勒索病毒家族最新變種“海賊王”利用企業(yè)網(wǎng)絡(luò)安全防護薄弱時期,對多個用戶發(fā)起攻擊,通過RDP暴力破解入侵加密,由于近期新冠疫情導(dǎo)致復(fù)工困難,企業(yè)用戶在遭到該勒索病毒加密后難以第一時間進行響應(yīng)和加固,造成巨大損失。

該勒索病毒變種界面是一個“海盜”標志,并且黑客聯(lián)系郵箱為“wang_team888@aol.com”,其中的“wang”疑似代表中文的“王”字:



并且加密文件的后綴被改為“ROGER”,也就是傳說中海賊王的名字:


02
預(yù)警概要



03
詳細分析

從種種特征來看,這貌似是一種新的勒索病毒,然而,經(jīng)過深信服安全專家的深入分析,發(fā)現(xiàn)病毒樣本其實是臭名昭著的Crysis勒索病毒家族最新變種。安全專家對此次發(fā)現(xiàn)的病毒文件提取相關(guān)payload,與Crysis勒索病毒文件 payload 進行對比,代碼相似度極高,可以確定其為Crysis家族變種:



Crysis最早在2016年6月被國外安全專家發(fā)現(xiàn)加入了勒索功能,在2017年5月萬能密鑰被公布之后,消失了一段時間,后來一直很活躍,攻擊方法主要是通過遠程RDP爆力破解的方式,植入到用戶的服務(wù)器進行攻擊,由于Crysis采用AES+RSA的加密方式,目前無法解密。



Crysis的勒索界面標志通常是一個“鎖”的圖標,而此次發(fā)現(xiàn)變種的勒索界面風(fēng)格與以往變種相比發(fā)生了較大變化,如下為以往變種的勒索界面:

詳細分析
此次捕獲到的Crysis與之前樣本一致,其整體的功能流程圖如下所示:



1.病毒首先拷貝自身到如下目錄:
%windir%\System32
%appdata%
%sh(Startup)%
%sh(Common Startup)%



2.將拷貝的病毒文件設(shè)置為自啟動項:



3.調(diào)用cmd命令刪除磁盤卷影,防止通過數(shù)據(jù)恢復(fù)的方式還原文件,如下:



4.枚舉服務(wù)并結(jié)束如下服務(wù):
Windows Update
Wuauserv
Windows Search
WSearch
Security Center
Wscsvc
WMI Performance Adapter



5.枚舉進程并結(jié)束如下進程:
1c8.exe
1cv77.exe
outlook.exe
postgres.exe
mysqld-nt.exe
mysqld.exe
sqlserver.exe



6.遍歷局域網(wǎng)共享目錄,并加密:



7.遍歷本地磁盤,并加密:



8.加密對象為特定后綴名的文件,包括“.1cd”、“.3ds”、“.3fr”等,如下:



9.加密后的文件的后綴為:.id-8ECF3B49.[wang_team888@aol.com].ROGER,如下:



10.彈出勒索信息界面,并設(shè)置為自啟動注冊表項,如下所示:



04
影響范圍

目前我國江蘇、湖南等地區(qū)已發(fā)現(xiàn)有企業(yè)遭到攻擊。

05
解決方案

病毒防御
目前大部分勒索病毒加密后的文件都無法解密,針對已經(jīng)出現(xiàn)勒索現(xiàn)象的用戶,由于暫時沒有解密工具,建議盡快對感染主機進行斷網(wǎng)隔離。

日常防范措施:
1、及時給電腦打補丁,修復(fù)漏洞。
2、對重要的數(shù)據(jù)文件定期進行非本地備份。
3、不要點擊來源不明的郵件附件,不從不明網(wǎng)站下載軟件。
4、盡量關(guān)閉不必要的文件共享權(quán)限。
5、更改賬戶密碼,設(shè)置強密碼,避免使用統(tǒng)一的密碼,因為統(tǒng)一的密碼會導(dǎo)致一臺被攻破,多臺遭殃。
6、如果業(yè)務(wù)上無需使用RDP的,建議關(guān)閉RDP。當(dāng)出現(xiàn)此類事件時,推薦使用深信服防火墻,或者終端檢測響應(yīng)平臺(EDR)的微隔離功能對3389等端口進行封堵,防止擴散!
7、防火墻開啟防爆破功能并啟用11080051、11080027、11080016規(guī)則,EDR開啟防爆破功能可進行防御。

最后,建議企業(yè)對全網(wǎng)進行一次安全檢查和殺毒掃描,加強防護工作。
深信服安全為廣大用戶免費提供查殺工具,可下載如下工具,進行檢測查殺。
64位系統(tǒng)下載鏈接:
http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z
32位系統(tǒng)下載鏈接:
http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z


上一篇   返回首頁  打印  返回上頁  下一篇

成功案例