近日,深信服接到多个建筑行业客户反馈,服务器被加密勒索,经过跟踪分析,拿到了相应的样本,确认样本为CrySiS勒索病毒jack变种。截止目前,黑产团队多次通过社会工程、RDP暴力破解等方式有针对性的入…
近期,申欣接到了建筑业顾客的意见反馈。
网络服务器已数据加密并被敲诈勒索。在追踪和剖析之后,得到相对的试品而且确定试品是CrySiS勒索软件液压千斤顶变体。目前为止,黑人生产制造精英团队已数次利用社会发展工程项目,RDP爆力等方式侵入建筑业,提示业界顾客提高警惕。 因为同样制造业中间一般存有互操作性,因而必需采取措施的防护和保障措施。
2018年5月wifi钥匙公布后,CrySiS勒索软件在过段时间内消退了。2016年,它被重新激话。
在2021年年,CrySiS敲诈勒索被缩放并实现现代化,并被嵌入客户的服务器进行进攻。变体的加密文件具有尾缀.jack,由于CrySiS应用AES + RSA数据加密,现阶段没法破译。 诈骗信息内容,友情提示全部FIELS ENCRYPTED“RSA1024”,如图所示(RSA1024是某种高韧性非对称加密算法): 网络黑客电子邮箱是lockhelp@手机QQ.Com。
一,深入分析 1.捕捉的CrySiS的总体作用步骤
2.拷贝本身并设定开机启动新项目给出:
3.枚举电子计算机中的相对服务项目并完毕,相对的服务项目明细给出: Windows Driver Foundation 客户方式Driver Framework Wudfsvc Windows升级 WUAUSERV 安全中心 Wscsvc Windows管理方法 仪表盘 为Winmgmt 确诊服务项目服务器 WdiServiceHost VMWare专用工具 VMTools.Desktop Window Manager应用程序管理器 ._ 相对的反汇编编码
11.例举步骤并完毕有关步骤给出相对的步骤明细给出: 1c8.exe 1cv77.exe OUTLOOK.EXE Postgres.exe 在mysqld-Nt.EXE Mysqld.exe Sqlserver.exe 从上边的目录中能能看得出,这些勒索软件关键完毕相对的数据库查询程序流程,避免这种程序流程占有相对的文档而没法数据加密网络服务器的数据库文件。相对的反汇编编码给出:
4.除开黑影,避免数据修复:
6.遍历LAN共享资源文件目录并数据加密它:
11.数据加密特殊尾缀的文件夹名称,给出如图所示: 数据加密上边的文件类型,相对的反汇编编码给出:数据加密文件后缀为jack
8.弹出来勒索软件页面并将其设定为开机启动注册表项,