近日,深信服接到多个建筑行业用户反馈,服务器被加密勒索,经过跟踪分析,确认感染CrySiS勒索病毒jack变种。截止目前,黑产团队多次通过社会工程、RDP暴力破解等方式有针对性地入侵建筑行业。由于同一行业之间,往往存在网络互通,提醒该行业用户一定要做好有效的隔离保护措施。

病毒名称:CrySiS勒索病毒jack变种

病毒性质:勒索病毒

影响范围:目前国内已有多个建筑设计院感染,部分互联网企业感染

危害等级:高危

传播方式:通过社会工程、RDP暴力破解入侵

病毒描述

在2017年5月万能密钥被公布之后,CrySiS勒索病毒曾消失了一段时间。2018年重新开始活跃,2019年CrySiS勒索呈现规模化、产业化运作,植入到用户的服务器进行攻击。此次变种其加密后的文件的后缀名为.jack,由于CrySiS采用AES+RSA的加密方式,目前无法解密。

勒索信息特意提示ALL FIELS ENCRYPTED “RSA1024”(RSA1024是一种高强度非对称加密算法),如下所示:

黑客邮箱为lockhelp@qq.com、1btc@decryption.biz等。

详细分析

此次捕获到的CrySiS其整体的功能流程图如下所示:

1、拷贝自身并设置自启动项,如下所示:

2、枚举主机中对应的服务,并结束:

相应的服务列表如下所示:

Windows Driver Foundation

User mode Driver Framework

wudfsvc

Windows Update

wuauserv

Security Center

wscsvc

Windows Management

Instrumentation

Winmgmt

Diagnostic Service Host

WdiServiceHost

VMWare Tools

VMTools.Desktop

Window Manager Session Manager

......

相应的反汇编代码如下:

3、枚举进程,并结束相关进程:

相应的进程列表如下:

1c8.exe

1cv77.exe

outlook.exe

postgres.exe

mysqld-nt.exe

mysqld.exe

sqlserver.exe

从上面的列表可以看出,此勒索病毒主要结束相应的数据库程序,防止这些程序占用相应的文件无法加密服务器的数据库文件,相应的反汇编代码如下所示:

4、删除卷影,防止数据恢复:

5、遍历局域网共享目录,并加密:

6、加密特定后缀的文件名:

 对上面的文件类型进行加密,相应的反汇编代码如下:

加密后的文件后缀名为jack,如下所示:

7、弹出勒索信息界面,并设置为自启动注册表项,如下所示:

解决方案

针对已经出现勒索现象的用户,由于暂时没有解密工具,建议尽快对感染主机进行断网隔离。深信服提醒广大用户尽快做好病毒检测与防御措施,防范该病毒家族的勒索攻击。

1、病毒检测查杀

(1)深信服EDR产品、下一代防火墙及安全感知平台等安全产品均具备病毒检测能力,部署相关产品用户可进行病毒检测,如图所示:

(2)深信服为广大用户免费提供查杀工具,可下载如下工具,进行检测查杀。

64位系统下载链接:

http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z

32位系统下载链接:

http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z

2、病毒防御

(1)及时给电脑打补丁,修复漏洞。

(2)对重要的数据文件定期进行非本地备份。

(3)不要点击来源不明的邮件附件,不从不明网站下载软件。

(4)尽量关闭不必要的文件共享权限。

(5)更改账户密码,设置强密码,避免使用统一的密码,因为统一的密码会导致一台被攻破,多台遭殃。

(6)如果业务上无需使用RDP的,建议关闭RDP。当出现此类事件时,推荐使用深信服防火墙,或者终端检测响应平台(EDR)的微隔离功能对3389等端口进行封堵,防止扩散!

(7)深信服下一代防火墙、终端检测响应平台(EDR)均有防爆破功能,防火墙开启此功能并启用11080051、11080027、11080016规则,EDR开启防爆破功能可进行防御。

(8)深信服下一代防火墙用户,建议升级到AF805版本,并开启SAVE安全智能检测引擎,以达到最好的防御效果。

(9)深信服EDR用户,建议升级病毒库到20190603及以上版本,以达到最好的防御效果。

(10)使用深信服安全产品,接入安全云脑,使用云查服务可以即时检测防御新威胁。

最后,建议企业对全网进行一次安全检查和杀毒扫描,加强防护工作。推荐使用深信服安全感知+防火墙+EDR,对内网进行感知、查杀和防护。

咨询与服务

您可以通过以下方式联系我们,获取关于CrySiS勒索病毒jack变种的免费咨询及支持服务:

1)拨打电话400-630-6430转6号线(已开通勒索软件专线)

2)关注【深信服技术服务】微信公众号,选择“智能服务”菜单,进行咨询

3)PC端访问深信服区 

bbs.sangfor.com.cn,选择右侧智能客服,进行咨询

免责声明：本网站（http://www.ciotimes.com/）内容主要来自原创、合作媒体供稿和第三方投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。
本网站刊载的所有内容（包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等）版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时，请及时通知本站，予以删除。