建筑行业出现集中式感染CrySiS勒索病毒,深信服率先提供解决方案

作者:???深圳市网安计算机安全检测技术有限公司 2019/06/05 10:23:30 153次阅读 国际
文章来源:https://www.4hou.com/typ/18383.html

????????近日,深信服接到多个建筑行业客户反馈,服务器被加密勒索,经过跟踪分析,拿到了相应的样本,确认样本为CrySiS勒索病毒jack变种。截止目前,黑产团队多次通过社会工程、RDP暴力破解等方式有针对性的入侵建筑行业,提醒该行业客户提高警惕。

????????由于相同行业之间,往往有互通性,一定要做好有效的隔离保护措施。

????????CrySiS勒索病毒曾在2017年5月万能密钥被公布之后,消失了一段时间,2018年重新开始活跃,2019年CrySiS勒索呈现规模化、产业化运作,植入到用户的服务器进行攻击。此次变种其加密后的文件的后缀名为.jack,由于CrySiS采用AES+RSA的加密方式,目前无法解密。

????????勒索信息,特意提示ALL FIELS ENCRYPTED “RSA1024”,如下所示(RSA1024是一种高强度非对称加密算法):

黑客邮箱为lockhelp@qq.com。

建筑行业出现集中式感染CrySiS勒索病毒,深信服率先提供解决方案

一、详细分析

1.此次捕获到的CrySiS其整体的功能流程图如下所示:

建筑行业出现集中式感染CrySiS勒索病毒,深信服率先提供解决方案

2.拷贝自身并设置自启动项,如下所示:

建筑行业出现集中式感染CrySiS勒索病毒,深信服率先提供解决方案

3.枚举电脑里的对应的服务,并结束,如图所示:

建筑行业出现集中式感染CrySiS勒索病毒,深信服率先提供解决方案

相应的服务列表如下所示:

·?Windows Driver Foundation

·?User mode Driver Framework

·?wudfsvc

·?Windows Update

·?wuauserv

·?Security Center

·?wscsvc

·?Windows Management

·?Instrumentation

·?Winmgmt

·?Diagnostic Service Host

·?WdiServiceHost

·?VMWare Tools

·?VMTools.Desktop

·?Window Manager Session Manager

……

相应的反汇编代码如下:

建筑行业出现集中式感染CrySiS勒索病毒,深信服率先提供解决方案

4.枚举进程,并结束相关进程,如下所示:

建筑行业出现集中式感染CrySiS勒索病毒,深信服率先提供解决方案

相应的进程列表如下:

·?1c8.exe

·?1cv77.exe

·?outlook.exe

·?postgres.exe

·?mysqld-nt.exe

·?mysqld.exe

·?sqlserver.exe

????????从上面的列表可以看出,此勒索病毒主要结束相应的数据库程序,防止这些程序占用相应的文件无法加密服务器的数据库文件,相应的反汇编代码如下所示:

建筑行业出现集中式感染CrySiS勒索病毒,深信服率先提供解决方案

5.册除卷影,防止数据恢复:

建筑行业出现集中式感染CrySiS勒索病毒,深信服率先提供解决方案

6.遍历局域网共享目录,并加密:

建筑行业出现集中式感染CrySiS勒索病毒,深信服率先提供解决方案

7.加密特定后缀的文件名,如下所示:

建筑行业出现集中式感染CrySiS勒索病毒,深信服率先提供解决方案

对上面的文件类型进行加密,相应的反汇编代码如下:

建筑行业出现集中式感染CrySiS勒索病毒,深信服率先提供解决方案

加密后的文件后缀名jack,如下所示:

建筑行业出现集中式感染CrySiS勒索病毒,深信服率先提供解决方案

8.弹出勒索信息界面,并设置为自启动注册表项,如下所示:

建筑行业出现集中式感染CrySiS勒索病毒,深信服率先提供解决方案


指导单位
广东省公安厅网络警察总队 广东省信息安全等级保护协调小组办公室