CrySiS勒索病毒浅析

2018年12月03日 · 信息安全 · 232次阅读

最近处理了一次勒索病毒事件,是一次针对某基础设施的攻击,导致文件被加密,加密后文件后缀为.adobe。经过确认发现为CrySiS勒索病毒最新变种。CrySiS勒索病毒在2017年5月万能密钥被公布之后,逐渐消失。近期又出现了大量CrySiS变种,该家族主要通过钓鱼邮件和利用RDP爆破进行传播。由于CrySiS采用AES+RSA的加密方式,目前无法解密。只有采取文件恢复手段。

攻击者留下的邮箱为:payransom@qq.com

​ 在这之前已知的CrySiS加密后缀如下:

.1cd;.3ds;.3fr;.3g2;.3gp;.7z;.accda;.accdb;.accdc;.accde;.accdt;

.accdw;.adb;.adp;.ai;.ai3;.ai4;.ai5;.ai6;.ai7;.ai8;.anim;.arw;.as;.asa;.asc;.ascx;.

asm;.asmx;.asp;.aspx;.asr;.asx;.avi;.avs;.backup;.bak;.bay;.bd;.bin;.bmp;

.bz2;.c;.cdr;.cer;.cf;.cfc;.cfm;.cfml;.cfu;.chm;.cin;.class;.clx;.config;.cpp;.cr2;.crt;.

crw;.cs;.css;.csv;.cub;.dae;.dat;.db;.dbf;.dbx;.dc3;.dcm;.dcr;.der;

.dib;.dic;.dif;.divx;.djvu;.dng;.doc;.docm;.docx;.dot;.dotm;.dotx;.dpx;.dqy;.dsn;.dt;

.dtd;.dwg;.dwt;.dx;.dxf;.edml;.efd;.elf;.emf;.emz;.epf;.eps;.epsf;.epsp;

.erf;.exr;.f4v;.fido;.flm;.flv;.frm;.fxg;.geo;.gif;.grs;.gz;.h;.hdr;.hpp;.hta;.htc;.htm;.html;

.icb;.ics;.iff;.inc;.indd;.ini;.iqy;.j2c;.j2k;.java;.jp2;.jpc;

.jpe;.jpeg;.jpf;.jpg;.jpx;.js;.jsf;.json;.jsp;.kdc;.kmz;.kwm;.lasso;.lbi;.lgf;.lgp;.log;.m1v;

.m4a;.m4v;.max;.md;.mda;.mdb;.mde;.mdf;.mdw;.mef;.mft;.mfw;.mht;

.mhtml;.mka;.mkidx;.mkv;.mos;.mov;.mp3;.mp4;.mpeg;.mpg;.mpv;.mrw;.msg;.mxl;

.myd;.myi;.nef;.nrw;.obj;.odb;.odc;.odm;.odp;.ods;.oft;.one;.onepkg;.onetoc2;.opt;

.oqy;.orf;.p12;.p7b;.p7c;.pam;.pbm;.pct;.pcx;.pdd;.pdf;.pdp;.pef;.pem;.pff;.pfm;.pfx;

.pgm;.php;.php3;.php4;.php5;.phtml;.pict;.pl;.pls;.pm;.png;.pnm;.pot;.potm;

.potx;.ppa;.ppam;.ppm;.pps;.ppsm;.ppt;.pptm;.pptx;.prn;.ps;.psb;.psd;.pst;.ptx;.pub;

.pwm;.pxr;.py;.qt;.r3d;.raf;.rar;.raw;.rdf;.rgbe;.rle;.rqy;.rss;.rtf;.rw2;.rwl;

.safe;.sct;.sdpx;.shtm;.shtml;.slk;.sln;.sql;.sr2;.srf;.srw;.ssi;.st;.stm;.svg;.svgz;.swf;.tab;

.tar;.tbb;.tbi;.tbk;.tdi;.tga;.thmx;.tif;.tiff;.tld;.torrent;.tpl;.txt;

.u3d;.udl;.uxdc;.vb;.vbs;.vcs;.vda;.vdr;.vdw;.vdx;.vrp;.vsd;.vss;.vst;.vsw;.vsx;.vtm;.vtml;

.vtx;.wb2;.wav;.wbm;.wbmp;.wim;.wmf;.wml;.wmv;.wpd;.wps;.x3f;.xl;.xla;.xlam;.xlk;

.xlm;.xls;.xlsb;.xlsm;.xlsx;.xlt;.xltm;.xltx;.xlw;.xml;.xps;.xsd;.xsf;.xsl;.xslt;.xsn;.xtp;.xtp2;.xyze;.xz;.zip;

​ 2018年11月,我发现了一个新的变种,文件被追加.adobe 扩展名。该勒索病毒使用加密的shellcode,在shellcode中利用换体技术对程序地址空间进行修改,以达到干扰杀毒软件的查杀和对抗二进制分析的目的。

样本拷贝自身到相应的目录下之后,设置自启动项

以管理员身份启动自身,复制自身添加注册表启动项,拷贝完成后在注册表HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun下新建3个注册表项。

该病毒具有删除磁盘卷影功能

卷影副本功能可提供网络共享上的文件的即时点副本。利用共享文件夹的卷影副本,用户可以查看网络文件夹在过去某一时间点的内容。勒索病毒会删除磁盘卷影,以防止受害人通过磁盘还原方式对文件进行恢复,删除磁盘卷影的命令为“mode con cp select=1251 vssadmin delete shadows /all /quiet Exit”,该命令是用上文中的RC4算法解密出来的。勒索病毒通过调用CreateProcess启动“C:Windowssystem32cmd.exe”调用删除命令来删除磁盘卷影,相关代码如下图所示:

通过卷影恢复文件失败。

防御手段

该病毒主要是由于RDP暴力破解传播。

对操作系统及时进行更新,修补漏洞

对重要的数据文件定期进行异地备份

不要点击来源不明的邮件以及附件

CrySis勒索软件主要通过RDP爆力破解的方式进行传播,建议关闭相应的RDP服务

使用长度大于8位的复杂密码,禁用GUEST来宾帐户

尽量不要使用局域网共享,或把共享磁盘设置为只读属性,不允许局域网用户改写文件

关闭不必要的端口,如:445、135、139、3389等

安装专业的终端/服务器安全防护软件

标签:none

最后编辑于:2021-01-04 14:02

评论