返回頂部
隱藏或顯示

新聞動態

News

绝地求生26个小技巧 www.9165849.com

建筑行業出現集中式感染CrySiS勒索病毒,深信服率先提供解決方案

/ 2019-06-04

近日,深信服接到多個建筑行業用戶反饋,服務器被加密勒索,經過跟蹤分析,確認感染CrySiS勒索病毒jack變種。截止目前,黑產團隊多次通過社會工程、RDP暴力破解等方式有針對性地入侵建筑行業。由于同一行業之間,往往存在網絡互通,提醒該行業用戶一定要做好有效的隔離?;ご朧?。

病毒名稱:CrySiS勒索病毒jack變種

病毒性質:勒索病毒

影響范圍:目前國內已有多個建筑設計院感染,部分互聯網企業感染

危害等級:高危

傳播方式:通過社會工程、RDP暴力破解入侵

病毒描述

在2017年5月萬能密鑰被公布之后,CrySiS勒索病毒曾消失了一段時間。2018年重新開始活躍,2019年CrySiS勒索呈現規?;?、產業化運作,植入到用戶的服務器進行攻擊。此次變種其加密后的文件的后綴名為.jack,由于CrySiS采用AES+RSA的加密方式,目前無法解密。

勒索信息特意提示ALL FIELS ENCRYPTED “RSA1024”(RSA1024是一種高強度非對稱加密算法),如下所示:

黑客郵箱為[email protected]、[email protected]等。

詳細分析

此次捕獲到的CrySiS其整體的功能流程圖如下所示:

1、拷貝自身并設置自啟動項,如下所示:

2、枚舉主機中對應的服務,并結束:

相應的服務列表如下所示:

Windows Driver Foundation

User mode Driver Framework

wudfsvc

Windows Update

wuauserv

Security Center

wscsvc

Windows Management

Instrumentation

Winmgmt

Diagnostic Service Host

WdiServiceHost

VMWare Tools

VMTools.Desktop

Window Manager Session Manager

......

相應的反匯編代碼如下:

3、枚舉進程,并結束相關進程:

相應的進程列表如下:

1c8.exe

1cv77.exe

outlook.exe

postgres.exe

mysqld-nt.exe

mysqld.exe

sqlserver.exe

從上面的列表可以看出,此勒索病毒主要結束相應的數據庫程序,防止這些程序占用相應的文件無法加密服務器的數據庫文件,相應的反匯編代碼如下所示:

4、刪除卷影,防止數據恢復:

5、遍歷局域網共享目錄,并加密:

6、加密特定后綴的文件名:

對上面的文件類型進行加密,相應的反匯編代碼如下:

加密后的文件后綴名為jack,如下所示:

7、彈出勒索信息界面,并設置為自啟動注冊表項,如下所示:

解決方案

針對已經出現勒索現象的用戶,由于暫時沒有解密工具,建議盡快對感染主機進行斷網隔離。深信服提醒廣大用戶盡快做好病毒檢測與防御措施,防范該病毒家族的勒索攻擊。

1、病毒檢測查殺

(1)深信服EDR產品、下一代防火墻及安全感知平臺等安全產品均具備病毒檢測能力,部署相關產品用戶可進行病毒檢測,如圖所示:

(2)深信服為廣大用戶免費提供查殺工具,可下載如下工具,進行檢測查殺。

64位系統下載鏈接:

//edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z

32位系統下載鏈接:

//edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z

2、病毒防御

(1)及時給電腦打補丁,修復漏洞。

(2)對重要的數據文件定期進行非本地備份。

(3)不要點擊來源不明的郵件附件,不從不明網站下載軟件。

(4)盡量關閉不必要的文件共享權限。

(5)更改賬戶密碼,設置強密碼,避免使用統一的密碼,因為統一的密碼會導致一臺被攻破,多臺遭殃。

(6)如果業務上無需使用RDP的,建議關閉RDP。當出現此類事件時,推薦使用深信服防火墻,或者終端檢測響應平臺(EDR)的微隔離功能對3389等端口進行封堵,防止擴散!

(7)深信服下一代防火墻、終端檢測響應平臺(EDR)均有防爆破功能,防火墻開啟此功能并啟用11080051、11080027、11080016規則,EDR開啟防爆破功能可進行防御。

(8)深信服下一代防火墻用戶,建議升級到AF805版本,并開啟SAVE安全智能檢測引擎,以達到最好的防御效果。

(9)深信服EDR用戶,建議升級病毒庫到20190603及以上版本,以達到最好的防御效果。

(10)使用深信服安全產品,接入安全云腦,使用云查服務可以即時檢測防御新威脅。


最后,建議企業對全網進行一次安全檢查和殺毒掃描,加強防護工作。推薦使用深信服安全感知+防火墻+EDR,對內網進行感知、查殺和防護。

咨詢與服務

您可以通過以下方式聯系我們,獲取關于CrySiS勒索病毒jack變種的免費咨詢及支持服務:

1)撥打電話400-630-6430轉6號線(已開通勒索軟件專線)

2)關注【深信服技術服務】微信公眾號,選擇“智能服務”菜單,進行咨詢

3)PC端訪問深信服區 bbs.www.9165849.com,選擇右側智能客服,進行咨詢


©2000-2019    深信服科技股份有限公司    版權所有    绝地求生26个小技巧

粵公網安備

粵公網安備44030502002384號

东莞沐足技师新招聘 360老时时杀号器 清纯美女高清 流量挂机赚钱软件v6 排列三专家杀两码组合 小鹿网络时时彩工具 幸运飞艇6码公式计划技巧 管家婆王中王鉄算盘开奖结果 上海时时开奖纪录 欧美美女尤物 吉林时时怎么玩法 棋牌平台 四人麻将 龙虎相斗谁是赢家 大赢家足球即时比分 极速赛车精准人工计划群