建筑行业出现集中式感染CrySiS勒索病毒,深信服率先提供解决方案

作者:   深圳市网安计算机安全检测技术有限公司 2019/06/05 10:23:30 141次阅读 国际
文章来源:https://www.4hou.com/typ/18383.html

        近日,深信服接到多个建筑行业客户反馈,服务器被加密勒索,经过跟踪分析,拿到了相应的样本,确认样本为CrySiS勒索病毒jack变种。截止目前,黑产团队多次通过社会工程、RDP暴力破解等方式有针对性的入侵建筑行业,提醒该行业客户提高警惕。

        由于相同行业之间,往往有互通性,一定要做好有效的隔离保护措施。

        CrySiS勒索病毒曾在2017年5月万能密钥被公布之后,消失了一段时间,2018年重新开始活跃,2019年CrySiS勒索呈现规模化、产业化运作,植入到用户的服务器进行攻击。此次变种其加密后的文件的后缀名为.jack,由于CrySiS采用AES+RSA的加密方式,目前无法解密。

        勒索信息,特意提示ALL FIELS ENCRYPTED “RSA1024”,如下所示(RSA1024是一种高强度非对称加密算法):

黑客邮箱为lockhelp@qq.com。

建筑行业出现集中式感染CrySiS勒索病毒,深信服率先提供解决方案

一、详细分析

1.此次捕获到的CrySiS其整体的功能流程图如下所示:

建筑行业出现集中式感染CrySiS勒索病毒,深信服率先提供解决方案

2.拷贝自身并设置自启动项,如下所示:

建筑行业出现集中式感染CrySiS勒索病毒,深信服率先提供解决方案

3.枚举电脑里的对应的服务,并结束,如图所示:

建筑行业出现集中式感染CrySiS勒索病毒,深信服率先提供解决方案

相应的服务列表如下所示:

· Windows Driver Foundation

· User mode Driver Framework

· wudfsvc

· Windows Update

· wuauserv

· Security Center

· wscsvc

· Windows Management

· Instrumentation

· Winmgmt

· Diagnostic Service Host

· WdiServiceHost

· VMWare Tools

· VMTools.Desktop

· Window Manager Session Manager

……

相应的反汇编代码如下:

建筑行业出现集中式感染CrySiS勒索病毒,深信服率先提供解决方案

4.枚举进程,并结束相关进程,如下所示:

建筑行业出现集中式感染CrySiS勒索病毒,深信服率先提供解决方案

相应的进程列表如下:

· 1c8.exe

· 1cv77.exe

· outlook.exe

· postgres.exe

· mysqld-nt.exe

· mysqld.exe

· sqlserver.exe

        从上面的列表可以看出,此勒索病毒主要结束相应的数据库程序,防止这些程序占用相应的文件无法加密服务器的数据库文件,相应的反汇编代码如下所示:

建筑行业出现集中式感染CrySiS勒索病毒,深信服率先提供解决方案

5.册除卷影,防止数据恢复:

建筑行业出现集中式感染CrySiS勒索病毒,深信服率先提供解决方案

6.遍历局域网共享目录,并加密:

建筑行业出现集中式感染CrySiS勒索病毒,深信服率先提供解决方案

7.加密特定后缀的文件名,如下所示:

建筑行业出现集中式感染CrySiS勒索病毒,深信服率先提供解决方案

对上面的文件类型进行加密,相应的反汇编代码如下:

建筑行业出现集中式感染CrySiS勒索病毒,深信服率先提供解决方案

加密后的文件后缀名jack,如下所示:

建筑行业出现集中式感染CrySiS勒索病毒,深信服率先提供解决方案

8.弹出勒索信息界面,并设置为自启动注册表项,如下所示:

建筑行业出现集中式感染CrySiS勒索病毒,深信服率先提供解决方案


指导单位
广东省公安厅网络警察总队 广东省信息安全等级保护协调小组办公室