×

建筑行业出现集中式感染CrySiS勒索病毒,深信服率先提供解决方案
  

SANGFOR_智安全 37481人觉得有帮助

{{ttag.title}}
本帖最后由 某公司_智安全 于 2019-6-4 19:12 编辑


背景概述

    近日,某公司接到多个建筑行业客户反馈,服务器被加密勒索,经过跟踪分析,拿到了相应的样本,确认样本为CrySiS勒索病毒jack变种。截止目前,黑产团队多次通过社会工程、RDP暴力破解等方式有针对性的入侵建筑行业,提醒该行业客户提高警惕。
    由于相同行业之间,往往有互通性,一定要做好有效的隔离保护措施。
CrySiS勒索病毒曾在2017年5月万能密钥被公布之后,消失了一段时间,2018年重新开始活跃,2019年CrySiS勒索呈现规模化、产业化运作,植入到用户的服务器进行攻击。此次变种其加密后的文件的后缀名为.jack,由于CrySiS采用AES+RSA的加密方式,目前无法解密
    勒索信息,特意提示ALL FIELS ENCRYPTED “RSA1024”,如下所示(RSA1024是一种高强度非对称加密算法):
黑客邮箱为lockhelp@qq.com1btc@decryption.biz等。

加密后的文件后缀名jack,如下所示:


一、详细分析
1.此次捕获到的CrySiS其整体的功能流程图如下所示:

2.拷贝自身并设置自启动项,如下所示:

3.枚举电脑里的对应的服务,并结束,如图所示:

相应的服务列表如下所示:
Windows Driver Foundation
User mode Driver Framework
wudfsvc
Windows Update
wuauserv
Security Center
wscsvc
Windows Management
Instrumentation
Winmgmt
Diagnostic Service Host
WdiServiceHost
VMWare Tools
VMTools.Desktop
Window Manager Session Manager
......
相应的反汇编代码如下:

4.枚举进程,并结束相关进程,如下所示:

相应的进程列表如下:
1c8.exe、1cv77.exe、outlook.exe、postgres.exe、mysqld-nt.exe、mysqld.exe、sqlserver.exe

从上面的列表可以看出,此勒索病毒主要结束相应的数据库程序,防止这些程序占用相应的文件无法加密服务器的数据库文件,相应的反汇编代码如下所示:

5.册除卷影,防止数据恢复:

6.遍历局域网共享目录,并加密:

7.加密特定后缀的文件名,如下所示:

对上面的文件类型进行加密,相应的反汇编代码如下:

8.弹出勒索信息界面,并设置为自启动注册表项,如下所示:



二、解决方案

    针对已经出现勒索现象的用户,由于暂时没有解密工具,建议尽快对感染主机进行断网隔离。某公司提醒广大用户尽快做好病毒检测与防御措施,防范该病毒家族的勒索攻击。

病毒检测查杀

1、某公司EDR产品、下一代防火墙及安全感知平台等安全产品均具备病毒检测能力,部署相关产品用户可进行病毒检测,如图所示:

2、某公司为广大用户免费提供查杀工具,可下载如下工具,进行检测查杀。
64位系统下载链接:
http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z
32位系统下载链接:
http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z

病毒防御
    某公司安全团队再次提醒广大用户,勒索病毒以防为主,目前大部分勒索病毒加密后的文件都无法解密,注意日常防范措施:
1、及时给电脑打补丁,修复漏洞。
2、对重要的数据文件定期进行非本地备份。
3、不要点击来源不明的邮件附件,不从不明网站下载软件。
4、尽量关闭不必要的文件共享权限。
5、更改账户密码,设置强密码,避免使用统一的密码,因为统一的密码会导致一台被攻破,多台遭殃。
6、如果业务上无需使用RDP的,建议关闭RDP。当出现此类事件时,推荐使用某公司防火墙,或者终端检测响应平台(EDR)的微隔离功能对3389等端口进行封堵,防止扩散!
7、某公司防火墙、终端检测响应平台(EDR)均有防爆破功能,防火墙开启此功能并启用11080051、11080027、11080016规则,EDR开启防爆破功能可进行防御。
8、某公司防火墙客户,建议升级到AF805版本,并开启人工智能引擎Save,以达到最好的防御效果。
9、使用某公司安全产品,接入安全云脑,使用云查服务可以即时检测防御新威胁。

    最后,建议企业对全网进行一次安全检查和杀毒扫描,加强防护工作。推荐使用某公司安全感知+防火墙+EDR,对内网进行感知、查杀和防护。



你有遇到相关问题吗

这篇干货对你有帮助吗?快来留言告诉我们~


打赏鼓励作者,期待更多好文!

打赏
3人已打赏

Sangfor_闪电回_朱丽 发表于 2019-6-12 12:24
  
建筑行业的小伙伴们注意啦!黑产团队多次通过社会工程、RDP暴力破解等方式有针对性的入侵建筑行业,请该行业客户提高警惕。

新手780102 发表于 2021-4-4 09:57
  
学习了。增加点知识.
肖振宙 发表于 2022-8-5 09:38
  
果然是高手在民间,楼主帖子写的不错,很有参考价值,还想看更多精彩分享,期待楼主下一篇好帖!
发表新帖
热门标签
全部标签>
西北区每日一问
技术盲盒
【 社区to talk】
安全效果
干货满满
技术笔记
每日一问
信服课堂视频
GIF动图学习
新版本体验
技术咨询
2023技术争霸赛专题
功能体验
产品连连看
安装部署配置
通用技术
秒懂零信任
技术晨报
自助服务平台操作指引
原创分享
标准化排查
排障笔记本
玩转零信任
排障那些事
SDP百科
深信服技术支持平台
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
每周精选
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
高手请过招
升级&主动服务
高频问题集锦
社区新周刊
POC测试案例
全能先锋系列
云化安全能力

本版达人

SANGFOR...

本周分享达人