建筑行业出现集中式感染CrySiS勒索病毒,深信服率先提供解决方案

千里目安全实验室 勒索软件 2019年6月4日发布
Favorite收藏

导语:近日,深信服接到多个建筑行业客户反馈,服务器被加密勒索,经过跟踪分析,拿到了相应的样本,确认样本为CrySiS勒索病毒jack变种。截止目前,黑产团队多次通过社会工程、RDP暴力破解等方式有针对性的入侵建筑行业,提醒该行业客户提高警惕。

近日,深信服接到多个建筑行业客户反馈,服务器被加密勒索,经过跟踪分析,拿到了相应的样本,确认样本为CrySiS勒索病毒jack变种。截止目前,黑产团队多次通过社会工程、RDP暴力破解等方式有针对性的入侵建筑行业,提醒该行业客户提高警惕。

由于相同行业之间,往往有互通性,一定要做好有效的隔离保护措施。

CrySiS勒索病毒曾在2017年5月万能密钥被公布之后,消失了一段时间,2018年重新开始活跃,2019年CrySiS勒索呈现规模化、产业化运作,植入到用户的服务器进行攻击。此次变种其加密后的文件的后缀名为.jack,由于CrySiS采用AES+RSA的加密方式,目前无法解密。

勒索信息,特意提示ALL FIELS ENCRYPTED “RSA1024”,如下所示(RSA1024是一种高强度非对称加密算法):

黑客邮箱为[email protected]

图片1.png

一、详细分析

1.此次捕获到的CrySiS其整体的功能流程图如下所示:

图片2.png

2.拷贝自身并设置自启动项,如下所示:

图片3.png

3.枚举电脑里的对应的服务,并结束,如图所示:

图片4.png

相应的服务列表如下所示:

· Windows Driver Foundation

· User mode Driver Framework

· wudfsvc

· Windows Update

· wuauserv

· Security Center

· wscsvc

· Windows Management

· Instrumentation

· Winmgmt

· Diagnostic Service Host

· WdiServiceHost

· VMWare Tools

· VMTools.Desktop

· Window Manager Session Manager

……

相应的反汇编代码如下:

图片5.png

4.枚举进程,并结束相关进程,如下所示:

图片6.png

相应的进程列表如下:

· 1c8.exe

· 1cv77.exe

· outlook.exe

· postgres.exe

· mysqld-nt.exe

· mysqld.exe

· sqlserver.exe

从上面的列表可以看出,此勒索病毒主要结束相应的数据库程序,防止这些程序占用相应的文件无法加密服务器的数据库文件,相应的反汇编代码如下所示:

图片7.png

5.册除卷影,防止数据恢复:

图片8.png

6.遍历局域网共享目录,并加密:

图片9.png

7.加密特定后缀的文件名,如下所示:

图片10.png

对上面的文件类型进行加密,相应的反汇编代码如下:

图片11.png

加密后的文件后缀名jack,如下所示:

图片12.png

8.弹出勒索信息界面,并设置为自启动注册表项,如下所示:

图片13.png

如若转载,请注明原文地址: https://www.4hou.com/typ/18383.html
点赞 0
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论