Crysis勒索病毒变种 不仅加密文件还删除备份

2018-10-25   

威胁等级:★★★★
Crysis_bip勒索病毒是黑客利用弱口令暴力破解受害者电脑导致其中毒,该病毒变种运行后会加密受害者电脑中的文件,删除系统自带备份。病毒使用对称加密算法AES加密文件,并使用非对称加密算法RSA加密密钥,因此如果没有黑客的RSA私钥无法解密文件。

背景介绍

此病毒是Crysis / Dharma勒索病毒变种,运行后加密受害者计算机中的文件,索要赎金。被加密文件 后缀名被追加如下字符串 id-[%id].[gracey1c6rwhite@aol.com].bip,其中[%id]代表8位数字编号。

病毒攻击视频:

查杀病毒视频:

拦截病毒视频:

行为分析

1.通过PDB路径 可以发现 病毒作者将此病毒命名为crysis

offset:000a5248 ==> C:\crysis\Release\PDB\payload.pdb

2.运行之后复制到系统目录

C:\Windows\System32\vir.exe

3.复制到自启动文件夹,开机自启动

4.删除磁盘卷影备份

vssadmin delete shadows /all /quiet

5.加密文件,并修改后缀

6.弹出勒索窗口

7.生成勒索文档

8.此病毒通常情况下是通过RDP弱口令植入到中毒机器

攻击者可以快速的扫描互联网中的计算机,如果RDP远程桌面密码过于简单,在攻击者的弱口令密码列表里面,那么攻击者就可以植入病毒并运行。

防范措施

  1. 不运行可疑程序
  2. 系统不要使用弱口令密码
  3. 及时更新系统补丁
  4. 服务器还要及时更新服务器软件和数据库软件的补丁
  5. 安装杀毒软件,及时更新病毒库
  6. 定期备份重要文件

[责任编辑:瑞瑞]