【解决方案版】建筑行业出现集中式感染CrySiS勒索病毒，深信服率先提供解决方案

温馨贴士：参与文末话题讨论，可以赢s豆奖励哦～

近日，某公司接到多个建筑行业用户反馈，服务器被加密勒索，经过跟踪分析，确认感染CrySiS勒索病毒jack变种。截止目前，黑产团队多次通过社会工程、RDP暴力破解等方式有针对性地入侵建筑行业。由于同一行业之间，往往存在网络互通，提醒该行业用户一定要做好有效的隔离保护措施。

病毒名称：CrySiS勒索病毒jack变种

病毒性质：勒索病毒

影响范围：目前国内已有多个某公司感染，部分互联网企业感染

危害等级：高危

传播方式：通过社会工程、RDP暴力破解入侵

病毒描述

在2017年5月万能密钥被公布之后，CrySiS勒索病毒曾消失了一段时间。2018年重新开始活跃，2019年CrySiS勒索呈现规模化、产业化运作，植入到用户的服务器进行攻击。此次变种其加密后的文件的后缀名为.jack，由于CrySiS采用AES+RSA的加密方式，目前无法解密。

勒索信息特意提示ALL FIELS ENCRYPTED “RSA1024”(RSA1024是一种高强度非对称加密算法)，如下所示：

黑客邮箱为lockhelp@qq.com、1btc@decryption.biz等。

详细分析

此次捕获到的CrySiS其整体的功能流程图如下所示：

1、拷贝自身并设置自启动项，如下所示：

2、枚举主机中对应的服务，并结束：

相应的服务列表如下所示：

Windows Driver Foundation

User mode Driver Framework

wudfsvc

Windows Update

wuauserv

Security Center

wscsvc

Windows Management

Instrumentation

Winmgmt

Diagnostic Service Host

WdiServiceHost

VMWare Tools

VMTools.Desktop

Window Manager Session Manager

......

相应的反汇编代码如下：

3、枚举进程，并结束相关进程：

相应的进程列表如下：

1c8.exe

1cv77.exe

outlook.exe

postgres.exe

mysqld-nt.exe

mysqld.exe

sqlserver.exe

从上面的列表可以看出，此勒索病毒主要结束相应的数据库程序，防止这些程序占用相应的文件无法加密服务器的数据库文件,相应的反汇编代码如下所示：

4、删除卷影，防止数据恢复：

5、遍历局域网共享目录，并加密：

6、加密特定后缀的文件名：

对上面的文件类型进行加密，相应的反汇编代码如下：

加密后的文件后缀名为jack，如下所示：

7、弹出勒索信息界面，并设置为自启动注册表项，如下所示：

解决方案

针对已经出现勒索现象的用户，由于暂时没有解密工具，建议尽快对感染主机进行断网隔离。某公司提醒广大用户尽快做好病毒检测与防御措施，防范该病毒家族的勒索攻击。

AF

1、确认当前设备软件升级

要求防火墙软件版本为AF8.0.5及以上，同时开启SAVE杀毒功能模块，如下图：

2、确认当前规则库更新

要求防火墙软的规则库更新到最新，如下图：

3、开启安全功能

针对此次的“CrySiS勒索病毒jack变种”防护，某公司 AF建议针对【内网有上网权限主机】，开启 “SAVE安全智能文件检测”功能。针对【需要对外提供RDP服务的主机】，开启“暴力破解”功能，配置如下：

①【策略】-【安全策略】-【安全防护策略】界面，新增【用户防护策略】，如下：

②【策略】-【安全策略】-【安全防护策略】界面，新增【业务防护策略】，如下：

安全感知

1、SIP能连接互联网情况

首先将IOC库更新到2019-5月28号，可通过平台自动升级，也可以手动触发升级，如下：

确认更新到2019年5月28号的IOC库，更新完成后如下:

2、SIP不能连接互联网情况

手动更新IOC库到2019年5月28号，链接如下：

https://bbs.sangfor.com.cn/plugin.php?id=service:download&action=view&fid=100000021428125#/100000035154687/all

EDR

针对“CrySiS勒索病毒jack变种”病毒检测，EDR需要开启病毒查杀、勒索病毒防护、防暴力破解。

1、更新病毒库

更新病毒库到20190603155843及以上版本，即可对CrySiS勒索病毒jack变种进行查杀。

①EDR管理平台能连接互联网情况：

通过以下界面检查EDR管理平台是否完成自动更新。

②EDR管理平台不能联网情况：

通过以下地址下载离线病毒库，导入EDR管理平台更新。

https://bbs.sangfor.com.cn/plugin.php?id=service:download&action=view&fid=100000022878128#/100000037221875/all

病毒库需要解压，解压密码为sangfor，得到pkg文件，通过以下界面导入EDR管理平台。

2、开启安全策略

①启用实时防护策略

针对内网终端启用实时防护策略，开启文件实时监控、勒索病毒防护、暴力破解检测，配置如下图：

②启用病毒查杀策略

针对内网windows终端启用病毒查杀策略，配置定时查杀，配置如下图：

对内网终端进行进行一次全盘查杀，检查内网是否已经感染病毒，如下图：

咨询与服务

您可以通过以下方式联系我们，获取关于CrySiS勒索病毒jack变种的免费咨询及支持服务：

1）拨打电话400-630-6430转6号线（已开通勒索软件专线）

2）关注【某公司技术服务】微信公众号，选择“智能服务”菜单，进行咨询

3）PC端访问某公司区

bbs.sangfor.com.cn，选择右侧智能客服，进行咨询

---

【有奖小互动】

“勒索病毒防不胜防，日常我们应该注意哪些小细节？你有何有效的规避方法呢？”

大神请留步！一起来说两句吧～

有效回帖者可以获得20s豆奖励哦！

---

友情链接：

新型勒索病毒Attention感染医疗与半导体行业

警惕利用Office漏洞传播商业间谍软件AgentTesla

第一！
复制某公司之前发布过的
1、谨慎打开来历不明的可疑邮件，尽量不打开可疑链接、不明附件；
2、禁用 Office 宏功能；
3、定期备份重要数据，通过不同的媒介存储；
4、安装可信的反病毒软件，及时更新特征库；
5、修改 Powershell 的脚本执行权限，禁止 Powershell 执行 *.ps1 脚本：首先用管理员权限打开 Powershell 终端，然后敲入命令 “Set-ExecutionPolicy Restricted”，最后在确认选项中敲入字母 “Y”。

勒索病毒虽然防不胜防，但是也不是不能降低此风险；
注意插拔优盘前用防病毒软件先扫描；
及时更新让病毒软件；
启用防火墙功能，对无关端口进行封闭；
不打开匿名程序和链接；

对于勒索病毒的预防可以至少从下面几点开始：
1.启用防病毒软件，并且及时更新，启用触发式扫描
2.定期备份重要的文件至不可重复写入光盘；
3.不打开或者引用未知来源的程序或网站链接；
4.启用防火墙将空闲端口关闭；
5.启用行为日志，观察异常情况；

备份很重要，搞个多节点的备份，出问题了往前一个节点恢复回来。

刚才有人问我最近流行什么，我直接回复他：现在流行勒索病毒！

没装杀软的赶紧的吧。。。

还变化着流行。要多注意一下

学习了，虽然有些专业知识不懂，但是最起码开始了解原理了

1、电脑安装杀毒软件，定期升级病毒库并保持最新，定期杀毒；
2、对电脑中重要的数据、文件，做好备份；
3、上网时，可疑的链接、图片等不要点，可疑邮件直接删除不要打开。

牛批，有幸跟总部的研发过去参与了这次病毒查杀，被他们的技术能力折服