• 首页 > 新闻频道 > 即时新闻

    建筑行业出现集中式感染CrySiS勒索病毒,深信服率先提供解决方案

    2019年06月04日 10:31:09   来源:中文科技资讯

    wT1中文科技资讯

      近日,深信服接到多个建筑行业用户反馈,服务器被加密勒索,经过跟踪分析,确认感染CrySiS勒索病毒jack变种。截止目前,黑产团队多次通过社会工程、RDP暴力破解等方式有针对性地入侵建筑行业。由于同一行业之间,往往存在网络互通,提醒该行业用户一定要做好有效的隔离保护措施。wT1中文科技资讯

      病毒名称:CrySiS勒索病毒jack变种wT1中文科技资讯

      病毒性质:勒索病毒wT1中文科技资讯

      影响范围:目前国内已有多个建筑设计院感染,部分互联网企业感染wT1中文科技资讯

      危害等级:高危wT1中文科技资讯

      传播方式:通过社会工程、RDP暴力破解入侵wT1中文科技资讯

      病毒描述wT1中文科技资讯

      在2017年5月万能密钥被公布之后,CrySiS勒索病毒曾消失了一段时间。2018年重新开始活跃,2019年CrySiS勒索呈现规模化、产业化运作,植入到用户的服务器进行攻击。此次变种其加密后的文件的后缀名为.jack,由于CrySiS采用AES+RSA的加密方式,目前无法解密。wT1中文科技资讯

      勒索信息特意提示ALL FIELS ENCRYPTED “RSA1024”(RSA1024是一种高强度非对称加密算法),如下所示:wT1中文科技资讯

    wT1中文科技资讯

      黑客邮箱为lockhelp@qq.com、1btc@decryption.biz等。wT1中文科技资讯

      详细分析wT1中文科技资讯

      此次捕获到的CrySiS其整体的功能流程图如下所示:wT1中文科技资讯

    wT1中文科技资讯

      1、拷贝自身并设置自启动项,如下所示:wT1中文科技资讯

    wT1中文科技资讯

      2、枚举主机中对应的服务,并结束:wT1中文科技资讯

    wT1中文科技资讯

      相应的服务列表如下所示:wT1中文科技资讯

      Windows Driver FoundationwT1中文科技资讯

      User mode Driver FrameworkwT1中文科技资讯

      wudfsvcwT1中文科技资讯

      Windows UpdatewT1中文科技资讯

      wuauservwT1中文科技资讯

      Security CenterwT1中文科技资讯

      wscsvcwT1中文科技资讯

      Windows ManagementwT1中文科技资讯

      InstrumentationwT1中文科技资讯

      WinmgmtwT1中文科技资讯

      Diagnostic Service HostwT1中文科技资讯

      WdiServiceHostwT1中文科技资讯

      VMWare ToolswT1中文科技资讯

      VMTools.DesktopwT1中文科技资讯

      Window Manager Session ManagerwT1中文科技资讯

      ......wT1中文科技资讯

      相应的反汇编代码如下:wT1中文科技资讯

    wT1中文科技资讯

      3、枚举进程,并结束相关进程:wT1中文科技资讯

    wT1中文科技资讯

      相应的进程列表如下:wT1中文科技资讯

      1c8.exewT1中文科技资讯

      1cv77.exewT1中文科技资讯

      outlook.exewT1中文科技资讯

      postgres.exewT1中文科技资讯

      mysqld-nt.exewT1中文科技资讯

      mysqld.exewT1中文科技资讯

      sqlserver.exewT1中文科技资讯

      从上面的列表可以看出,此勒索病毒主要结束相应的数据库程序,防止这些程序占用相应的文件无法加密服务器的数据库文件,相应的反汇编代码如下所示:wT1中文科技资讯

    wT1中文科技资讯

      4、删除卷影,防止数据恢复:wT1中文科技资讯

    wT1中文科技资讯

      5、遍历局域网共享目录,并加密:wT1中文科技资讯

    wT1中文科技资讯

      6、加密特定后缀的文件名:wT1中文科技资讯

    wT1中文科技资讯

      对上面的文件类型进行加密,相应的反汇编代码如下:wT1中文科技资讯

    wT1中文科技资讯

      加密后的文件后缀名为jack,如下所示:wT1中文科技资讯

    wT1中文科技资讯

      7、弹出勒索信息界面,并设置为自启动注册表项,如下所示:wT1中文科技资讯

    wT1中文科技资讯

      解决方案wT1中文科技资讯

      针对已经出现勒索现象的用户,由于暂时没有解密工具,建议尽快对感染主机进行断网隔离。深信服提醒广大用户尽快做好病毒检测与防御措施,防范该病毒家族的勒索攻击。wT1中文科技资讯

      1、病毒检测查杀wT1中文科技资讯

      (1)深信服EDR产品、下一代防火墙及安全感知平台等安全产品均具备病毒检测能力,部署相关产品用户可进行病毒检测,如图所示:wT1中文科技资讯

    wT1中文科技资讯

      (2)深信服为广大用户免费提供查杀工具,可下载如下工具,进行检测查杀。wT1中文科技资讯

      64位系统下载链接:wT1中文科技资讯

      http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7zwT1中文科技资讯

      32位系统下载链接:wT1中文科技资讯

      http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7zwT1中文科技资讯

      2、病毒防御wT1中文科技资讯

      (1)及时给电脑打补丁,修复漏洞。wT1中文科技资讯

      (2)对重要的数据文件定期进行非本地备份。wT1中文科技资讯

      (3)不要点击来源不明的邮件附件,不从不明网站下载软件。wT1中文科技资讯

      (4)尽量关闭不必要的文件共享权限。wT1中文科技资讯

      (5)更改账户密码,设置强密码,避免使用统一的密码,因为统一的密码会导致一台被攻破,多台遭殃。wT1中文科技资讯

      (6)如果业务上无需使用RDP的,建议关闭RDP。当出现此类事件时,推荐使用深信服防火墙,或者终端检测响应平台(EDR)的微隔离功能对3389等端口进行封堵,防止扩散!wT1中文科技资讯

      (7)深信服下一代防火墙、终端检测响应平台(EDR)均有防爆破功能,防火墙开启此功能并启用11080051、11080027、11080016规则,EDR开启防爆破功能可进行防御。wT1中文科技资讯

      (8)深信服下一代防火墙用户,建议升级到AF805版本,并开启SAVE安全智能检测引擎,以达到最好的防御效果。wT1中文科技资讯

      (9)深信服EDR用户,建议升级病毒库到20190603及以上版本,以达到最好的防御效果。wT1中文科技资讯

      (10)使用深信服安全产品,接入安全云脑,使用云查服务可以即时检测防御新威胁。wT1中文科技资讯

      最后,建议企业对全网进行一次安全检查和杀毒扫描,加强防护工作。推荐使用深信服安全感知+防火墙+EDR,对内网进行感知、查杀和防护。wT1中文科技资讯

      咨询与服务wT1中文科技资讯

      您可以通过以下方式联系我们,获取关于CrySiS勒索病毒jack变种的免费咨询及支持服务:wT1中文科技资讯

      1)拨打电话深信服客服总机转6号线(已开通勒索软件专线)wT1中文科技资讯

      2)关注【深信服技术服务】微信公众号,选择“智能服务”菜单,进行咨询wT1中文科技资讯

      3)PC端访问深信服区wT1中文科技资讯

      bbs.sangfor.com.cn,选择右侧智能客服,进行咨询wT1中文科技资讯

      来源:XXX(非中文科技资讯)的作品均转载自其它媒体,转载请尊重版权保留出处,一切法律责任自负。

      文章内容仅供阅读,不构成投资建议,请谨慎对待。投资者据此操作,风险自担。

      如发现本站文章存在问题,提供版权疑问、身份证明、版权证明、联系方式等发邮件至news@citnews.com.cn。

    [上传用户: S055-2]
    分享到微信

    推荐

    元宇宙 会是下一个互联网吗

    最近一段时间以来,人们对于元宇宙的认知开始更多地聚焦在了它与互联网的关系上。有人认为,元宇宙就是下一个时代的互联网;有人则认为,元宇宙是一个资本市场鼓吹出来的新泡沫。

    新闻

    机器人创造恐惧,人类会丢掉地球主导权吗?

    在一些电影以及模拟的视频中,我们常常能看到“机器人举着机关枪或者火箭筒向人类开火”的镜头,但在现实世界,这些都尚未发生。

    互联网+

    企业纷纷盯上“成套智慧家电”,这会是一片新蓝海吗

    而这样的最终走向,也将给家电企业带来更大的协同挑战,是从理念到技术到产品到服务的“综合素质”考验,这是比过去单品时代更严峻的挑战,当然,也意味着全新的竞争机会。

    融合

    资本“八方来袭”,手术机器人何以掀起风浪?

    能够辅助医生进行手术的机器人已经落地,目前在骨科、神经外科、腹腔等科室得以运用,手术机器人正在成为机器人行业一个极具应用前景的细分领域。

    创投

    又一巨无霸奔赴IPO:两位大学室友合伙,做出2000亿估

    美国当地时间11月16日,全球民宿短租公寓预订平台Airbnb正式向纳斯达克提交了招股书。