中心首页 » 安全公告 » 正文

Crysis勒索病毒“海贼王”变种预警

发布时间:2020-01-28

一、事件背景

广东省网络安全应急响应平台技术支撑单位深信服安全近日追踪到Crysis勒索病毒家族最新变种海贼王利用企业网络安全防护薄弱时期,对多个用户发起攻击,通过RDP暴力破解入侵加密,由于近期新冠疫情导致复工困难,企业用户在遭到该勒索病毒加密后难以第一时间进行响应和加固,造成巨大损失。

该勒索病毒变种界面是一个海盗标志,并且黑客联系邮箱为“wang_team888@aol.com”,其中的“wang”疑似代表中文的字:

1373D6

并且加密文件的后缀被改为“ROGER”,也就是传说中海贼王的名字:

1472B

二、预警概要

41CF


三、详细分析

从种种特征来看,这貌似是一种新的勒索病毒,然而,经过深信服安全专家的深入分析,发现病毒样本其实是臭名昭著的Crysis勒索病毒家族最新变种。安全专家对此次发现的病毒文件提取相关payload,与Crysis勒索病毒文件 payload 进行对比,代码相似度极高,可以确定其为Crysis家族变种:

Crysis最早在20166月被国外安全专家发现加入了勒索功能,在20175月万能密钥被公布之后,消失了一段时间,后来一直很活跃,攻击方法主要是通过远程RDP爆力破解的方式,植入到用户的服务器进行攻击,由于Crysis采用AES+RSA的加密方式,目前无法解密

Crysis的勒索界面标志通常是一个的图标,而此次发现变种的勒索界面风格与以往变种相比发生了较大变化,如下为以往变种的勒索界面:


详细分析

此次捕获到的Crysis与之前样本一致,其整体的功能流程图如下所示:

123BE


1.病毒首先拷贝自身到如下目录:

%windir%\System32

%appdata%

%sh(Startup)%

%sh(Common Startup)%

42549


2.将拷贝的病毒文件设置为自启动项:

3.调用cmd命令删除磁盘卷影,防止通过数据恢复的方式还原文件,如下:

4.枚举服务并结束如下服务:

Windows Update

Wuauserv

Windows Search

WSearch

Security Center

Wscsvc

WMI Performance Adapter

60728

5.枚举进程并结束如下进程:

1c8.exe

1cv77.exe

outlook.exe

postgres.exe

mysqld-nt.exe

mysqld.exe

sqlserver.exe

6.遍历局域网共享目录,并加密:


7.遍历本地磁盘,并加密:

329E

8.加密对象为特定后缀名的文件,包括“.1cd”“.3ds”“.3fr”等,如下:

9.加密后的文件的后缀为:.id-8ECF3B49.[wang_team888@aol.com].ROGER,如下:

10.弹出勒索信息界面,并设置为自启动注册表项,如下所示:

27420


四、影响范围

目前我国江苏、湖南等地区已发现有企业遭到攻击。


五、解决方案

病毒防御

目前大部分勒索病毒加密后的文件都无法解密,针对已经出现勒索现象的用户,由于暂时没有解密工具,建议尽快对感染主机进行断网隔离。

日常防范措施:

1、及时给电脑打补丁,修复漏洞。

2、对重要的数据文件定期进行非本地备份。

3、不要点击来源不明的邮件附件,不从不明网站下载软件。

4、尽量关闭不必要的文件共享权限。

5、更改账户密码,设置强密码,避免使用统一的密码,因为统一的密码会导致一台被攻破,多台遭殃。

6、如果业务上无需使用RDP的,建议关闭RDP。当出现此类事件时,推荐使用深信服防火墙,或者终端检测响应平台(EDR)的微隔离功能对3389等端口进行封堵,防止扩散!

7、防火墙开启防爆破功能并启用110800511108002711080016规则,EDR开启防爆破功能可进行防御。

最后,建议企业对全网进行一次安全检查和杀毒扫描,加强防护工作。