建筑行業(yè)出現(xiàn)集中式感染CrySiS勒索病毒，深信服率先提供解決方案

2019年06月04日10:20 來源：新媒體T|T

【移動通信網(wǎng)】近日,深信服接到多個建筑行業(yè)用戶反饋,服務器被加密勒索,經(jīng)過跟蹤分析,確認感染CrySiS勒索病毒jack變種。截止目前,黑產團隊多次通過社會工程、RDP暴力等方式有針對性地入侵建筑行業(yè)。由于同一行業(yè)之間,往往存在網(wǎng)絡互通,提醒該行業(yè)用戶一定要做好有效的隔離保護措施。

病毒名稱:CrySiS勒索病毒jack變種

病毒性質:勒索病毒

影響范圍:目前國內已有多個建筑設計院感染,部分互聯(lián)網(wǎng)企業(yè)感染

危害等級:高危

傳播方式:通過社會工程、RDP暴力入侵

病毒描述

在2017年5月萬能密鑰被公布之后,CrySiS勒索病毒曾消失了一段時間。2018年重新開始活躍,2019年CrySiS勒索呈現(xiàn)規(guī)�；�、產業(yè)化運作,植入到用戶的服務器進行攻擊。此次變種其加密后的文件的后綴名為.jack,由于CrySiS采用AES+RSA的加密方式,目前無法解密。

勒索信息特意提示ALLFIELSENCRYPTED“RSA1024”(RSA1024是一種高強度非對稱加密算法),如下所示:

郵箱為lockhelp@qq.com、1btc@decryption.biz等。

詳細分析

此次捕獲到的CrySiS其整體的功能流程圖如下所示:

1、拷貝自身并設置自啟動項,如下所示:

2、枚舉主機中對應的服務,并結束:

相應的服務列表如下所示:

WindowsDriverFoundation

UsermodeDriverFramework

wudfsvc

WindowsUpdate

wuauserv

SecurityCenter

wscsvc

WindowsManagement

Instrumentation

Winmgmt

DiagnosticServiceHost

WdiServiceHost

VMWareTools

VMTools.Desktop

WindowManagerSessionManager

......

相應的反匯編代碼如下:

3、枚舉進程,并結束相關進程:

相應的進程列表如下:

1c8.exe

1cv77.exe

outlook.exe

postgres.exe

mysqld-nt.exe

mysqld.exe

sqlserver.exe

從上面的列表可以看出,此勒索病毒主要結束相應的數(shù)據(jù)庫程序,防止這些程序占用相應的文件無法加密服務器的數(shù)據(jù)庫文件,相應的反匯編代碼如下所示:

4、刪除卷影,防止數(shù)據(jù)恢復:

5、遍歷局域網(wǎng)共享目錄,并加密:

6、加密特定后綴的文件名:

對上面的文件類型進行加密,相應的反匯編代碼如下:

加密后的文件后綴名為jack,如下所示:

7、彈出勒索信息界面,并設置為自啟動注冊表項,如下所示:

解決方案

針對已經(jīng)出現(xiàn)勒索現(xiàn)象的用戶,由于暫時沒有解密工具,建議盡快對感染主機進行斷網(wǎng)隔離。深信服提醒廣大用戶盡快做好病毒檢測與防御措施,防范該病毒家族的勒索攻擊。

1、病毒檢測查殺

(1)深信服EDR產品、下一代防火墻及安全感知平臺等安全產品均具備病毒檢測能力,部署相關產品用戶可進行病毒檢測,如圖所示:

(2)深信服為廣大用戶免費提供查殺工具,可下載如下工具,進行檢測查殺。

64位系統(tǒng)下載鏈接:

http://edr.sangfor.com.cn/tool/SfabBot_X64.7z

32位系統(tǒng)下載鏈接:

http://edr.sangfor.com.cn/tool/SfabBot_X86.7z

2、病毒防御

(1)及時給電腦打補丁,修復漏洞。

(2)對重要的數(shù)據(jù)文件定期進行非本地備份。

(3)不要點擊來源不明的郵件附件,不從不明網(wǎng)站下載軟件。

(4)盡量關閉不必要的文件共享權限。

(5)更改賬戶密碼,設置強密碼,避免使用統(tǒng)一的密碼,因為統(tǒng)一的密碼會導致一臺被攻破,多臺遭殃。

(6)如果業(yè)務上無需使用RDP的,建議關閉RDP。當出現(xiàn)此類事件時,推薦使用深信服防火墻,或者終端檢測響應平臺(EDR)的微隔離功能對3389等端口進行封堵,防止擴散!

(7)深信服下一代防火墻、終端檢測響應平臺(EDR)均有防爆破功能,防火墻開啟此功能并啟用11080051、11080027、11080016規(guī)則,EDR開啟防爆破功能可進行防御。

(8)深信服下一代防火墻用戶,建議升級到AF805版本,并開啟SAVE安全智能檢測引擎,以達到最好的防御效果。

(9)深信服EDR用戶,建議升級病毒庫到20190603及以上版本,以達到最好的防御效果。

(10)使用深信服安全產品,接入安全云腦,使用云查服務可以即時檢測防御新威脅。

最后,建議企業(yè)對全網(wǎng)進行一次安全檢查和殺毒掃描,加強防護工作。推薦使用深信服安全感知+防火墻+EDR,對內網(wǎng)進行感知、查殺和防護。

咨詢與服務

您可以通過以下方式聯(lián)系我們,獲取關于CrySiS勒索病毒jack變種的免費咨詢及支持服務:

1)撥打勒索軟件專線

2)關注【深信服技術服務】微信公眾號,選擇“智能服務”菜單,進行咨詢

3)PC端訪問深信服區(qū)