×

【解决方案版】建筑行业出现集中式感染CrySiS勒索病毒,深信服率先提供解决方案

SANGFOR_智安全

{{ttag.title}}
温馨贴士:参与文末话题讨论,可以赢s豆奖励哦~




近日,某公司接到多个建筑行业用户反馈,服务器被加密勒索,经过跟踪分析,确认感染CrySiS勒索病毒jack变种。截止目前,黑产团队多次通过社会工程、RDP暴力破解等方式有针对性地入侵建筑行业由于同一行业之间,往往存在网络互通,提醒该行业用户一定要做好有效的隔离保护措施。
病毒名称:CrySiS勒索病毒jack变种
病毒性质:勒索病毒
影响范围:目前国内已有多个某公司感染,部分互联网企业感染
危害等级:高危
传播方式:通过社会工程、RDP暴力破解入侵

病毒描述
在2017年5月万能密钥被公布之后,CrySiS勒索病毒曾消失了一段时间。2018年重新开始活跃,2019年CrySiS勒索呈现规模化、产业化运作,植入到用户的服务器进行攻击。此次变种其加密后的文件的后缀名为.jack,由于CrySiS采用AES+RSA的加密方式,目前无法解密。
勒索信息特意提示ALL FIELS ENCRYPTED “RSA1024”(RSA1024是一种高强度非对称加密算法),如下所示:

黑客邮箱为lockhelp@qq.com1btc@decryption.biz等。

详细分析
此次捕获到的CrySiS其整体的功能流程图如下所示:

1、拷贝自身并设置自启动项,如下所示:

2、枚举主机中对应的服务,并结束:

相应的服务列表如下所示:
Windows Driver Foundation
User mode Driver Framework
wudfsvc
Windows Update
wuauserv
Security Center
wscsvc
Windows Management
Instrumentation
Winmgmt
Diagnostic Service Host
WdiServiceHost
VMWare Tools
VMTools.Desktop
Window Manager Session Manager
......
相应的反汇编代码如下:

3、枚举进程,并结束相关进程:

相应的进程列表如下:
1c8.exe
1cv77.exe
outlook.exe
postgres.exe
mysqld-nt.exe
mysqld.exe
sqlserver.exe
从上面的列表可以看出,此勒索病毒主要结束相应的数据库程序,防止这些程序占用相应的文件无法加密服务器的数据库文件,相应的反汇编代码如下所示:

4、删除卷影,防止数据恢复:

5、遍历局域网共享目录,并加密:

6、加密特定后缀的文件名:

对上面的文件类型进行加密,相应的反汇编代码如下:

加密后的文件后缀名为jack,如下所示:

7、弹出勒索信息界面,并设置为自启动注册表项,如下所示:



解决方案
针对已经出现勒索现象的用户,由于暂时没有解密工具,建议尽快对感染主机进行断网隔离。某公司提醒广大用户尽快做好病毒检测与防御措施,防范该病毒家族的勒索攻击。
AF
1、确认当前设备软件升级
要求防火墙软件版本为AF8.0.5及以上,同时开启SAVE杀毒功能模块,如下图:

2、确认当前规则库更新
要求防火墙软的规则库更新到最新,如下图:

3、开启安全功能
针对此次的“CrySiS勒索病毒jack变种”防护,某公司 AF建议针对【内网有上网权限主机】,开启 “SAVE安全智能文件检测”功能。针对【需要对外提供RDP服务的主机】,开启“暴力破解”功能,配置如下:
①【策略】-【安全策略】-【安全防护策略】界面,新增【用户防护策略】,如下:




②【策略】-【安全策略】-【安全防护策略】界面,新增【业务防护策略】,如下:





安全感知
1、SIP能连接互联网情况
首先将IOC库更新到2019-5月28号,可通过平台自动升级,也可以手动触发升级,如下:

确认更新到2019年5月28号的IOC库,更新完成后如下:


2、SIP不能连接互联网情况
手动更新IOC库到2019年5月28号,链接如下:
https://bbs.sangfor.com.cn/plugin.php?id=service:download&action=view&fid=100000021428125#/100000035154687/all

EDR
针对“CrySiS勒索病毒jack变种”病毒检测,EDR需要开启病毒查杀、勒索病毒防护、防暴力破解。
1、更新病毒库
更新病毒库到20190603155843及以上版本,即可对CrySiS勒索病毒jack变种进行查杀。
①EDR管理平台能连接互联网情况:
通过以下界面检查EDR管理平台是否完成自动更新。


②EDR管理平台不能联网情况:
通过以下地址下载离线病毒库,导入EDR管理平台更新。
https://bbs.sangfor.com.cn/plugin.php?id=service:download&action=view&fid=100000022878128#/100000037221875/all

病毒库需要解压,解压密码为sangfor,得到pkg文件,通过以下界面导入EDR管理平台。

2、开启安全策略
①启用实时防护策略
针对内网终端启用实时防护策略,开启文件实时监控、勒索病毒防护、暴力破解检测,配置如下图:



②启用病毒查杀策略
针对内网windows终端启用病毒查杀策略,配置定时查杀,配置如下图:


对内网终端进行进行一次全盘查杀,检查内网是否已经感染病毒,如下图:


咨询与服务
您可以通过以下方式联系我们,获取关于CrySiS勒索病毒jack变种的免费咨询及支持服务:
1)拨打电话400-630-6430转6号线(已开通勒索软件专线)
2)关注【某公司技术服务】微信公众号,选择“智能服务”菜单,进行咨询
3)PC端访问某公司区
bbs.sangfor.com.cn,选择右侧智能客服,进行咨询


【有奖小互动】
“勒索病毒防不胜防,日常我们应该注意哪些小细节?你有何有效的规避方法呢?”


大神请留步!一起来说两句吧~

有效回帖者可以获得20s豆奖励哦!


友情链接:
刘建波 发表于 2019-6-21 09:11
  
1 可疑的连接 邮件 不要轻易打开
2 安装可信的杀毒软件  及时更新病毒库
3 数据及时备份  异地备份
4 封堵不用的端口
ztbf 发表于 2019-6-20 13:57
  
对于病毒的预防可:
1 电脑系统的补丁要及时更新
2  电脑的杀毒软件也要及时更新
3 网络的IDS和IPS也向做好调整
4  网络设备的防火墙做好库更新
5  对来历不明的邮件,要有安全意思。
新手915440 发表于 2019-6-15 19:36
  
要经常备份重要数据
鬼子姜 发表于 2019-6-15 19:24
  
现在流行勒索病毒
新手756451 发表于 2019-6-15 19:11
  
变化着流行。要多注意
安徒生丢了童话 发表于 2019-6-14 08:50
  
看起来很高级的样子
10652 发表于 2019-6-12 16:53
  
关闭被利用端口,然后就是按大家提供搞,应该好点
金卡戴珊 发表于 2019-6-9 18:25
  
我就遇到勒索病毒,两台内网服务器中毒,最后都是重装电脑系统。啥数据都没了,最后倒逼买了一台新的AF设备。
NickHTY 发表于 2019-6-6 15:34
  
牛批,有幸跟总部的研发过去参与了这次病毒查杀,被他们的技术能力折服

热门标签
全部标签>
西北区每日一问
技术盲盒
【 社区to talk】
安全效果
技术笔记
干货满满
每日一问
信服课堂视频
GIF动图学习
新版本体验
技术咨询
2023技术争霸赛专题
功能体验
产品连连看
安装部署配置
通用技术
秒懂零信任
技术晨报
自助服务平台操作指引
原创分享
标准化排查
排障笔记本
玩转零信任
排障那些事
SDP百科
深信服技术支持平台
POC测试案例
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
每周精选
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
高手请过招
升级&主动服务
高频问题集锦
社区新周刊
全能先锋系列
云化安全能力

本版达人

SANGFOR...

本周分享达人