【解决方案版】建筑行业出现集中式感染CrySiS勒索病毒,深信服率先提供解决方案
  

SANGFOR_智安全 Lv9发表于 2019-6-5 10:42

温馨贴士:参与文末话题讨论,可以赢s豆奖励哦~


591975cf7240dbdae1.png


近日,深信服接到多个建筑行业用户反馈,服务器被加密勒索,经过跟踪分析,确认感染CrySiS勒索病毒jack变种。截止目前,黑产团队多次通过社会工程、RDP暴力破解等方式有针对性地入侵建筑行业由于同一行业之间,往往存在网络互通,提醒该行业用户一定要做好有效的隔离保护措施。
病毒名称:CrySiS勒索病毒jack变种
病毒性质:勒索病毒
影响范围:目前国内已有多个建筑设计院感染,部分互联网企业感染
危害等级:高危
传播方式:通过社会工程、RDP暴力破解入侵

病毒描述
在2017年5月万能密钥被公布之后,CrySiS勒索病毒曾消失了一段时间。2018年重新开始活跃,2019年CrySiS勒索呈现规模化、产业化运作,植入到用户的服务器进行攻击。此次变种其加密后的文件的后缀名为.jack,由于CrySiS采用AES+RSA的加密方式,目前无法解密。
勒索信息特意提示ALL FIELS ENCRYPTED “RSA1024”(RSA1024是一种高强度非对称加密算法),如下所示:
312505cf7249aa7677.png
黑客邮箱为lockhelp@qq.com1btc@decryption.biz等。

详细分析
此次捕获到的CrySiS其整体的功能流程图如下所示:
834295cf724b7db255.png
1、拷贝自身并设置自启动项,如下所示:
336405cf72907ecd6e.png

2、枚举主机中对应的服务,并结束:
1.png
2.png
相应的服务列表如下所示:
Windows Driver Foundation
User mode Driver Framework
wudfsvc
Windows Update
wuauserv
Security Center
wscsvc
Windows Management
Instrumentation
Winmgmt
Diagnostic Service Host
WdiServiceHost
VMWare Tools
VMTools.Desktop
Window Manager Session Manager
......
相应的反汇编代码如下:
3.png
3、枚举进程,并结束相关进程:
4.png
相应的进程列表如下:
1c8.exe
1cv77.exe
outlook.exe
postgres.exe
mysqld-nt.exe
mysqld.exe
sqlserver.exe
从上面的列表可以看出,此勒索病毒主要结束相应的数据库程序,防止这些程序占用相应的文件无法加密服务器的数据库文件,相应的反汇编代码如下所示:
5.png
4、删除卷影,防止数据恢复:
6.png
5、遍历局域网共享目录,并加密:
7.png
6、加密特定后缀的文件名:
8.png
对上面的文件类型进行加密,相应的反汇编代码如下:
9.png
加密后的文件后缀名为jack,如下所示:
10.png
7、弹出勒索信息界面,并设置为自启动注册表项,如下所示:
11.png


解决方案
针对已经出现勒索现象的用户,由于暂时没有解密工具,建议尽快对感染主机进行断网隔离。深信服提醒广大用户尽快做好病毒检测与防御措施,防范该病毒家族的勒索攻击。
AF
1、确认当前设备软件升级
要求防火墙软件版本为AF8.0.5及以上,同时开启SAVE杀毒功能模块,如下图:
12.png
2、确认当前规则库更新
要求防火墙软的规则库更新到最新,如下图:
13.png
3、开启安全功能
针对此次的“CrySiS勒索病毒jack变种”防护,SANGFOR AF建议针对【内网有上网权限主机】,开启 “SAVE安全智能文件检测”功能。针对【需要对外提供RDP服务的主机】,开启“暴力破解”功能,配置如下:
①【策略】-【安全策略】-【安全防护策略】界面,新增【用户防护策略】,如下:
14.png 15.png 16.png



②【策略】-【安全策略】-【安全防护策略】界面,新增【业务防护策略】,如下:

17.png
18.png
19.png

安全感知
1、SIP能连接互联网情况
首先将IOC库更新到2019-5月28号,可通过平台自动升级,也可以手动触发升级,如下:
20.png
确认更新到2019年5月28号的IOC库,更新完成后如下:
21.png

2、SIP不能连接互联网情况
手动更新IOC库到2019年5月28号,链接如下:
https://bbs.sangfor.com.cn/plugin.php?id=service:download&action=view&fid=100000021428125#/100000035154687/all

EDR
针对“CrySiS勒索病毒jack变种”病毒检测,EDR需要开启病毒查杀、勒索病毒防护、防暴力破解。
1、更新病毒库
更新病毒库到20190603155843及以上版本,即可对CrySiS勒索病毒jack变种进行查杀。
①EDR管理平台能连接互联网情况:
通过以下界面检查EDR管理平台是否完成自动更新。
22.png
23.png

②EDR管理平台不能联网情况:
通过以下地址下载离线病毒库,导入EDR管理平台更新。
https://bbs.sangfor.com.cn/plugin.php?id=service:download&action=view&fid=100000022878128#/100000037221875/all
24.png
病毒库需要解压,解压密码为sangfor,得到pkg文件,通过以下界面导入EDR管理平台。

2、开启安全策略
①启用实时防护策略
针对内网终端启用实时防护策略,开启文件实时监控、勒索病毒防护、暴力破解检测,配置如下图:
25.png
26.png


②启用病毒查杀策略
针对内网windows终端启用病毒查杀策略,配置定时查杀,配置如下图:

27.png
对内网终端进行进行一次全盘查杀,检查内网是否已经感染病毒,如下图:
28.png
29.png

咨询与服务
您可以通过以下方式联系我们,获取关于CrySiS勒索病毒jack变种的免费咨询及支持服务:
1)拨打电话400-630-6430转6号线(已开通勒索软件专线)
2)关注【深信服技术服务】微信公众号,选择“智能服务”菜单,进行咨询
3)PC端访问深信服区
bbs.sangfor.com.cn,选择右侧智能客服,进行咨询


【有奖小互动】
“勒索病毒防不胜防,日常我们应该注意哪些小细节?你有何有效的规避方法呢?”


大神请留步!一起来说两句吧~

有效回帖者可以获得20s豆奖励哦!


友情链接:

喜欢这篇分享吗?喜欢就给楼主打点赏吧!点个赞也是极大的鼓励!

发帖可获得5S豆;若您的分享被加精或推荐优秀等,将获得更多S豆奖励,了解更多S豆奖励信息

完善手机号和公司名称,让服务更省心更便捷!立即完善

重庆1 Lv4发表于 2019-6-5 11:50
  
第一!
复制深信服之前发布过的
1、谨慎打开来历不明的可疑邮件,尽量不打开可疑链接、不明附件;
2、禁用 Office 宏功能;
3、定期备份重要数据,通过不同的媒介存储;
4、安装可信的反病毒软件,及时更新特征库;
5、修改 Powershell 的脚本执行权限,禁止 Powershell 执行 *.ps1 脚本:首先用管理员权限打开 Powershell 终端,然后敲入命令 “Set-ExecutionPolicy Restricted”,最后在确认选项中敲入字母 “Y”。
newstar Lv7发表于 2019-6-5 13:19
  
勒索病毒虽然防不胜防,但是也不是不能降低此风险;
注意插拔优盘前用防病毒软件先扫描;
及时更新让病毒软件;
启用防火墙功能,对无关端口进行封闭;
不打开匿名程序和链接;
tj_zero Lv17发表于 2019-6-5 13:22
  
对于勒索病毒的预防可以至少从下面几点开始:
1.启用防病毒软件,并且及时更新,启用触发式扫描
2.定期备份重要的文件至不可重复写入光盘;
3.不打开或者引用未知来源的程序或网站链接;
4.启用防火墙将空闲端口关闭;
5.启用行为日志,观察异常情况;
神样队长 Lv6发表于 2019-6-5 14:44
  
备份很重要,搞个多节点的备份,出问题了往前一个节点恢复回来。
会飞的癞蛤蟆 Lv13发表于 2019-6-5 15:38
  
刚才有人问我最近流行什么,我直接回复他:现在流行勒索病毒!

没装杀软的赶紧的吧。。。
新手981388 Lv13发表于 2019-6-5 22:32
  
还变化着流行。要多注意一下
厌児 Lv12发表于 2019-6-6 09:28
  
学习了,虽然有些专业知识不懂,但是最起码开始了解原理了
水之蓝色 Lv16发表于 2019-6-6 10:04
  
1、电脑安装杀毒软件,定期升级病毒库并保持最新,定期杀毒;
2、对电脑中重要的数据、文件,做好备份;
3、上网时,可疑的链接、图片等不要点,可疑邮件直接删除不要打开。
NickHTY Lv1发表于 2019-6-6 15:34
  
牛批,有幸跟总部的研发过去参与了这次病毒查杀,被他们的技术能力折服

×
有话想说?点这里!
可评论、可发帖

本版版主

48
34
1

发帖

粉丝

关注

本版热帖

本版达人

SANGFOR...

本周分享达人