Crysis勒索病毒变种 不仅加密文件还删除备份

2018-10-25   

威胁等级：★★★★
Crysis_bip勒索病毒是黑客利用弱口令暴力破解受害者电脑导致其中毒，该病毒变种运行后会加密受害者电脑中的文件，删除系统自带备份。病毒使用对称加密算法AES加密文件，并使用非对称加密算法RSA加密密钥，因此如果没有黑客的RSA私钥无法解密文件。

背景介绍

此病毒是Crysis / Dharma勒索病毒变种，运行后加密受害者计算机中的文件，索要赎金。被加密文件 后缀名被追加如下字符串 id-[%id].[gracey1c6rwhite@aol.com].bip，其中[%id]代表8位数字编号。

病毒攻击视频：

查杀病毒视频：

拦截病毒视频：

行为分析

1.通过PDB路径 可以发现 病毒作者将此病毒命名为crysis

offset:000a5248 ==> C:\crysis\Release\PDB\payload.pdb

2.运行之后复制到系统目录

C:\Windows\System32\vir.exe

3.复制到自启动文件夹，开机自启动

4.删除磁盘卷影备份

vssadmin delete shadows /all /quiet

5.加密文件，并修改后缀

6.弹出勒索窗口

7.生成勒索文档

8.此病毒通常情况下是通过RDP弱口令植入到中毒机器

攻击者可以快速的扫描互联网中的计算机，如果RDP远程桌面密码过于简单，在攻击者的弱口令密码列表里面，那么攻击者就可以植入病毒并运行。

防范措施

1. 不运行可疑程序
2. 系统不要使用弱口令密码
3. 及时更新系统补丁
4. 服务器还要及时更新服务器软件和数据库软件的补丁
5. 安装杀毒软件，及时更新病毒库
6. 定期备份重要文件