建筑行业出现集中式感染CrySiS勒索病毒，深信服率先提供解决方案

近日，深信服接到多个建筑行业客户反馈，服务器被加密勒索，经过跟踪分析，拿到了相应的样本，确认样本为CrySiS勒索病毒jack变种。截止目前，黑产团队多次通过社会工程、RDP暴力破解等方式有针对性的入侵建筑行业，提醒该行业客户提高警惕。

由于相同行业之间，往往有互通性，一定要做好有效的隔离保护措施。

CrySiS勒索病毒曾在2017年5月万能密钥被公布之后，消失了一段时间，2018年重新开始活跃，2019年CrySiS勒索呈现规模化、产业化运作，植入到用户的服务器进行攻击。此次变种其加密后的文件的后缀名为.jack，由于CrySiS采用AES+RSA的加密方式，目前无法解密。

勒索信息，特意提示ALL FIELS ENCRYPTED “RSA1024”，如下所示(RSA1024是一种高强度非对称加密算法)：

黑客邮箱为lockhelp@qq.com。

一、详细分析

1.此次捕获到的CrySiS其整体的功能流程图如下所示：

2.拷贝自身并设置自启动项，如下所示：

3.枚举电脑里的对应的服务，并结束，如图所示：

相应的服务列表如下所示：

· Windows Driver Foundation

· User mode Driver Framework

· wudfsvc

· Windows Update

· wuauserv

· Security Center

· wscsvc

· Windows Management

· Instrumentation

· Winmgmt

· Diagnostic Service Host

· WdiServiceHost

· VMWare Tools

· VMTools.Desktop

· Window Manager Session Manager

......

相应的反汇编代码如下：

4.枚举进程，并结束相关进程，如下所示：

相应的进程列表如下：

· 1c8.exe

· 1cv77.exe

· outlook.exe

· postgres.exe

· mysqld-nt.exe

· mysqld.exe

· sqlserver.exe

从上面的列表可以看出，此勒索病毒主要结束相应的数据库程序，防止这些程序占用相应的文件无法加密服务器的数据库文件,相应的反汇编代码如下所示：

5.册除卷影，防止数据恢复：

6.遍历局域网共享目录，并加密：

7.加密特定后缀的文件名，如下所示：

对上面的文件类型进行加密，相应的反汇编代码如下：

加密后的文件后缀名jack，如下所示：

8.弹出勒索信息界面，并设置为自启动注册表项，如下所示：