利用弱口令攻击电脑的Crysis_arena勒索病毒

2018-10-24   

威胁等级：★★★★
Crysis_arean勒索病毒是黑客利用弱口令暴力破解受害者电脑导致其中毒，该病毒变种运行后会加密受害者电脑中的文件，删除系统自带备份。病毒使用对称加密算法AES加密文件，并使用非对称加密算法RSA加密密钥，因此如果没有黑客的RSA私钥无法解密文件。

病毒名：

Trojan.Ransom.Crysis!1.A6AA

样本MD5：

f2679bdabe46e10edc6352fff3c829bc

病毒类型：

勒索病毒

传播途径：

网络下载、QQ等即时通讯工具传播、邮件传播 等

影响平台：

Win 2000、Win XP、Win2003、Vista、Win7 、Server 2003等

危害详情：

运行之后加密受害者计算机中的文件，索要赎金。 此病毒是wallet家族Crysis病毒的新变种 加密的后的文件缀通常为 arena 、cesar 等

病毒攻击视频：

查杀病毒视频：

拦截病毒视频：

行为分析：

1. 通过PDB符号路径可知，病毒作者编写时命名为crysis

C:\crysis\Release\PDB\payload.pdb

2. 运行之后复制到系统目录下

C:\WINDOWS\system32\vir.exe

3. 设置为开机启动

4. 删除卷影备份

vssadmin delete shadows /all /quiet

5. 被加密文件后缀格式为 id-{编号}.[chivas@aolonline.top].arena

6. 加密某些系统文件的时候会弹出文件被修改

7. 加密结束后 弹出索要赎金窗口

8. 生成一个文本文档

9. 病毒会加密所有磁盘 包括局域网共享磁盘

10. 攻击者疑似通过RDP弱口令 扫描网络中的计算机 传播病毒

防御措施：

1. 不使用弱口令密码

2. 安装杀软保持监控开启

3. 定期备份重要文件