慧聪网首页慧聪通信网首页资讯展会人物运营商设备商3G手机iPhone手机CDMA找供应找求购免费注册立即登录加入买卖通即时沟通网站导航

建筑行业出现集中式感染CrySiS勒索病毒,深信服率先提供解决方案

http://www.tele.hc360.com2019年06月04日10:20 来源:新媒体T|T

    

    【慧聪通信网】近日,深信服接到多个建筑行业用户反馈,服务器被加密勒索,经过跟踪分析,确认感染CrySiS勒索病毒jack变种。截止目前,黑产团队多次通过社会工程、RDP暴力等方式有针对性地入侵建筑行业。由于同一行业之间,往往存在网络互通,提醒该行业用户一定要做好有效的隔离保护措施。

    病毒名称:CrySiS勒索病毒jack变种

    病毒性质:勒索病毒

    影响范围:目前国内已有多个建筑设计院感染,部分互联网企业感染

    危害等级:高危

    传播方式:通过社会工程、RDP暴力入侵

    病毒描述

    在2017年5月万能密钥被公布之后,CrySiS勒索病毒曾消失了一段时间。2018年重新开始活跃,2019年CrySiS勒索呈现规模化、产业化运作,植入到用户的服务器进行攻击。此次变种其加密后的文件的后缀名为.jack,由于CrySiS采用AES+RSA的加密方式,目前无法解密。

    勒索信息特意提示ALLFIELSENCRYPTED“RSA1024”(RSA1024是一种高强度非对称加密算法),如下所示:

    

    邮箱为lockhelp@qq.com1btc@decryption.biz等。

    详细分析

    此次捕获到的CrySiS其整体的功能流程图如下所示:

    

    1拷贝自身并设置自启动项,如下所示:

    

    2枚举主机中对应的服务,并结束:

    

    相应的服务列表如下所示:

    WindowsDriverFoundation

    UsermodeDriverFramework

    wudfsvc

    WindowsUpdate

    wuauserv

    SecurityCenter

    wscsvc

    WindowsManagement

    Instrumentation

    Winmgmt

    DiagnosticServiceHost

    WdiServiceHost

    VMWareTools

    VMTools.Desktop

    WindowManagerSessionManager

    ......

    相应的反汇编代码如下:

    

    3枚举进程,并结束相关进程:

    

    相应的进程列表如下:

    1c8.exe

    1cv77.exe

    outlook.exe

    postgres.exe

    mysqld-nt.exe

    mysqld.exe

    sqlserver.exe

    从上面的列表可以看出,此勒索病毒主要结束相应的数据库程序,防止这些程序占用相应的文件无法加密服务器的数据库文件,相应的反汇编代码如下所示:

    

    4删除卷影,防止数据恢复:

    

    5遍历局域网共享目录,并加密:

    

    6加密特定后缀的文件名:

    

    对上面的文件类型进行加密,相应的反汇编代码如下:

    

    加密后的文件后缀名为jack,如下所示:

    

    7弹出勒索信息界面,并设置为自启动注册表项,如下所示:

    

    解决方案

    针对已经出现勒索现象的用户,由于暂时没有解密工具,建议尽快对感染主机进行断网隔离。深信服提醒广大用户尽快做好病毒检测与防御措施,防范该病毒家族的勒索攻击。

    1病毒检测查杀

    (1)深信服EDR产品、下一代防火墙及安全感知平台等安全产品均具备病毒检测能力,部署相关产品用户可进行病毒检测,如图所示:

    

    (2)深信服为广大用户免费提供查杀工具,可下载如下工具,进行检测查杀。

    64位系统下载链接:

    http://edr.sangfor.com.cn/tool/SfabBot_X64.7z

    32位系统下载链接:

    http://edr.sangfor.com.cn/tool/SfabBot_X86.7z

    2病毒防御

    (1)及时给电脑打补丁,修复漏洞。

    (2)对重要的数据文件定期进行非本地备份。

    (3)不要点击来源不明的邮件附件,不从不明网站下载软件。

    (4)尽量关闭不必要的文件共享权限。

    (5)更改账户密码,设置强密码,避免使用统一的密码,因为统一的密码会导致一台被攻破,多台遭殃。

    (6)如果业务上无需使用RDP的,建议关闭RDP。当出现此类事件时,推荐使用深信服防火墙,或者终端检测响应平台(EDR)的微隔离功能对3389等端口进行封堵,防止扩散!

    (7)深信服下一代防火墙、终端检测响应平台(EDR)均有防爆破功能,防火墙开启此功能并启用11080051、11080027、11080016规则,EDR开启防爆破功能可进行防御。

    (8)深信服下一代防火墙用户,建议升级到AF805版本,并开启SAVE安全智能检测引擎,以达到最好的防御效果。

    (9)深信服EDR用户,建议升级病毒库到20190603及以上版本,以达到最好的防御效果。

    (10)使用深信服安全产品,接入安全云脑,使用云查服务可以即时检测防御新威胁。

    最后,建议企业对全网进行一次安全检查和杀毒扫描,加强防护工作。推荐使用深信服安全感知+防火墙+EDR,对内网进行感知、查杀和防护。

    咨询与服务

    您可以通过以下方式联系我们,获取关于CrySiS勒索病毒jack变种的免费咨询及支持服务:

    1)拨打勒索软件专线

    2)关注【深信服技术服务】微信公众号,选择“智能服务”菜单,进行咨询

    3)PC端访问深信服区

    

责任编辑:常丽圆

免责声明:凡注明来源本网的所有作品,均为本网合法拥有版权或有权使用的作品,欢迎转载,注明出处。非本网作品均来自互联网,转载目的在于传递更多信息,并不代表本网赞同其观点和对其真实性负责。本网对文中陈述、观点判断保持中立,不对所包含内容的准确性、可靠性或完整性提供任何明示或暗示的保证。读者应详细了解所有相关投资风险,并请自行承担全部责任。

慧聪TMT

打造广电科技新媒体