内容简介:近日,深信服接到多个建筑行业客户反馈,服务器被加密勒索,经过跟踪分析,拿到了相应的样本,确认样本为CrySiS勒索病毒jack变种。截止目前,黑产团队多次通过社会工程、RDP暴力破解等方式有针对性的入侵建筑行业,提醒该行业客户提高警惕。由于相同行业之间,往往有互通性,一定要做好有效的隔离保护措施。CrySiS勒索病毒曾在2017年5月万能密钥被公布之后,消失了一段时间,2018年重新开始活跃,2019年CrySiS勒索呈现规模化、产业化运作,植入到用户的服务器进行攻击。此次变种其加密后的文件的后缀名为.ja
近日,深信服接到多个建筑行业客户反馈,服务器被加密勒索,经过跟踪分析,拿到了相应的样本,确认样本为CrySiS勒索病毒jack变种。截止目前,黑产团队多次通过社会工程、RDP暴力破解等方式有针对性的入侵建筑行业,提醒该行业客户提高警惕。
由于相同行业之间,往往有互通性,一定要做好有效的隔离保护措施。
CrySiS勒索病毒曾在2017年5月万能密钥被公布之后,消失了一段时间,2018年重新开始活跃,2019年CrySiS勒索呈现规模化、产业化运作,植入到用户的服务器进行攻击。此次变种其加密后的文件的后缀名为.jack,由于CrySiS采用AES+RSA的加密方式,目前无法解密。
勒索信息,特意提示ALL FIELS ENCRYPTED “RSA1024”,如下所示(RSA1024是一种高强度非对称加密算法):
黑客邮箱为[email protected]。
一、详细分析
1.此次捕获到的CrySiS其整体的功能流程图如下所示:
2.拷贝自身并设置自启动项,如下所示:
3.枚举电脑里的对应的服务,并结束,如图所示:
相应的服务列表如下所示:
· Windows Driver Foundation
· User mode Driver Framework
· wudfsvc
· Windows Update
· wuauserv
· Security Center
· wscsvc
· Windows Management
· Instrumentation
· Winmgmt
· Diagnostic Service Host
· WdiServiceHost
· VMWare Tools
· VMTools.Desktop
·Window Manager Session Manager
……
相应的反汇编代码如下:
4.枚举进程,并结束相关进程,如下所示:
相应的进程列表如下:
· 1c8.exe
· 1cv77.exe
· outlook.exe
· postgres.exe
· mysqld-nt.exe
· mysqld.exe
·sqlserver.exe
从上面的列表可以看出,此勒索病毒主要结束相应的数据库程序,防止这些程序占用相应的文件无法加密服务器的数据库文件,相应的反汇编代码如下所示:
5.册除卷影,防止数据恢复:
6.遍历局域网共享目录,并加密:
7.加密特定后缀的文件名,如下所示:
对上面的文件类型进行加密,相应的反汇编代码如下:
加密后的文件后缀名jack,如下所示:
8.弹出勒索信息界面,并设置为自启动注册表项,如下所示:
以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网
猜你喜欢:
- 华为 深信服等研发面经
- (编辑中)深信服容器云的负载均衡实现
- 持续保护 :看深信服如何落地等保2.0
- 看看深信服的下一代终端安全产品:EDR
- 始于图像,探索AI!深信服出席GTC CHINA 2018
- 企业调研:深信服的超融合到底解决了什么问题?
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
