被CrazyCrypt2.1勒索病毒加密了?深信服提供一键解密工具
  

SANGFOR_智安全 Lv8发表于 2019-3-13 17:00

背景概述
    近日,国外分析人员报出CrazyCrypt 2.1勒索病毒,该勒索病毒集加解密模块于一体,通过AES加密算法对文件进行加密,并弹出交互窗口,受害用户通过支付赎金获取解密密钥后可通过该窗口自行解密。深信服安全团队密切关注该勒索病毒家族的最新动向,对捕获的样本进行了详细分析,并向广大用户提供免费的密钥获取工具。
免费解密工具下载链接:
http://edr.sangfor.com.cn/tool/CrazyCrypt_2.1_Password_Generator.zip

病毒信息
1.病毒运行流程:
442945c88c4b9b15a0.png

2.加密文件类型:
".doc"".docx"".xls"".xlsx"".ppt"".pptx"".jpg"".jpeg"".png"".psd"".txt"".zip"".rar"".html"".php"".asp"".aspx"".mp4"".avi"".3gp"".wmv"".MOV"".mp3"".wav"".flac"".wma"".mov"".raw"".doc"".apk"".encrypt""crypted"".ahok"".cs"".vb"".ppt"".pptx"".docx"".xlsx"".mdf"".ldf"".bak"".max"

3.加密后文件:
“原文件名 + id.主机id.[crazydecrypt@horsefucker.org].crazy”
161375c88c4ca38f7c.png

4.勒索信息:
222395c88c4d920da0.png

详细分析
CrazyCrypt_Encrypt加密模块
1.创建互斥体”SINGLE_INSTANCE_APP_MUTEX”:
469715c88c4e85ea7b.png

2.修改Windows Defender和系统策略:

577195c88c4f7d720e.png
90075c88c50902fea.png

3.从A到Z遍历磁盘,排除包含以下字符的目录:
"Bin" "indows" "tings" "System Volume Information" "cache" "very" "rogram Files (x86)" "rogram Files" "boot" "efi" ".old"
185475c88c51caa867.png

4.排除已加密过的文件,筛选指定后缀名的文件:
369835c88c5438a3c4.png

5.生成密钥和IV,使用AES算法对文件进行加密,重命名文件:
783955c88c5507de79.png

CrazyCrypt_Aviso勒索信息模块
1.弹出勒索信息窗口:
886695c88c55d26e00.png

2.替换加密主机ID:
743895c88c5add4550.png
936415c88c5bc64202.png

3.向C&C端发送失陷主机信息:
913305c88c5c77bf9e.png

4.等待输入密码,连接C&C端获取key进行对比:
213475c88c5d0be34e.png

CrazyCrypt_Decrypt模块
1.排除未加密的文件目录:
763705c88c5e030b3a.png

2.解密文件,自删除:
597745c88c5ef01365.png

解决方案
    针对已经出现勒索现象的用户,建议尽快对感染主机进行断网隔离,下载深信服提供的免费密钥获取工具生成密钥,解密文件。深信服提醒广大用户尽快做好病毒检测与防御措施,防范该病毒家族的勒索攻击。
免费解密工具下载链接:
http://edr.sangfor.com.cn/tool/CrazyCrypt_2.1_Password_Generator.zip

病毒检测查杀
1、深信服为广大用户免费提供查杀工具,可下载如下工具,进行检测查杀。

64位系统下载链接:
http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z

32位系统下载链接:
http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z

2、深信服EDR产品及防火墙等安全产品均具备病毒检测能力,部署相关产品用户可进行病毒检测,如图所示:
883425c88c601bd247.png

病毒防御
    深信服安全团队再次提醒广大用户,勒索病毒以防为主,目前大部分勒索病毒加密后的文件都无法解密,注意日常防范措施:
1、及时给电脑打补丁,修复漏洞。
2、对重要的数据文件定期进行非本地备份。
3、不要点击来源不明的邮件附件,不从不明网站下载软件。
4、尽量关闭不必要的文件共享权限。
5、更改账户密码,设置强密码,避免使用统一的密码,因为统一的密码会导致一台被攻破,多台遭殃。
6、如果业务上无需使用RDP的,建议关闭RDP。当出现此类事件时,推荐使用深信服防火墙,或者终端检测响应平台(EDR)的微隔离功能对3389等端口进行封堵,防止扩散!
7、深信服防火墙、终端检测响应平台(EDR)均有防爆破功能,防火墙开启此功能并启用11080051、11080027、11080016规则,EDR开启防爆破功能可进行防御。
8、深信服防火墙客户,建议升级到AF805版本,并开启人工智能引擎Save,以达到最好的防御效果。

最后,建议企业对全网进行一次安全检查和杀毒扫描,加强防护工作。推荐使用深信服安全感知+防火墙+EDR,对内网进行感知、查杀和防护。

喜欢这篇分享吗?喜欢就给楼主打点赏吧!点个赞也是极大的鼓励!

发帖可获得5S豆;若您的分享被加精或推荐优秀等,将获得更多S豆奖励,了解更多S豆奖励信息

完善手机号和公司名称,让服务更省心更便捷!立即完善

主动出击 Lv13发表于 2019-3-13 22:38
  
历害啊,连密匙都能搞出来。
jimes Lv6发表于 2019-3-14 08:56
  
推荐EDR ?
赵无忌 Lv7发表于 2019-3-14 11:20
  
不用赎金就能解密了?
697480 Lv3发表于 2019-3-14 14:44
  
厉害呀,
鸵鸟减肥以后 Lv3发表于 2019-3-15 08:19
  
我服就是强啊。
新手738515 Lv2发表于 2019-3-15 16:06
  
学习了解了!

×
有话想说?点这里!
可评论、可发帖

本版版主

48
30
1

发帖

粉丝

关注

本版热帖

本版达人

SANGFOR...

本周分享达人