北京用友北京用友

您所在的位置:首页 -> 常见问题 -> 中了勒索病毒怎么办
腾讯安全发布高危预警:Crysis勒索病毒利用RDP爆破攻击加剧-转载
浏览:1535次 评论:0条 发表日期:2019-12-12 21:27:55作者:
Tags:

一、背景

腾讯安全御见威胁情报中心监测发现,Crysis勒索病毒国内感染量有上升,该病毒主要通过RDP弱口令爆破传播入侵政企机构,加密重要数据,由于该病毒的加密破坏暂无法解密,被攻击后将导致相关单位遭受严重损失。

Crysis勒索病毒的勒索信息

 

Crysis病毒家族的Phobos衍生变种

 

据腾讯安全御见威胁情报中心蜜罐系统监测数据,8月Crysis勒索病毒家族及其Phobos衍生变种感染量明显上升。

针对RDP(远程桌面服务)弱口令的爆破攻击次数持续增多

 

攻击者爆破攻击的目标IP也在持续上升

 

近期受Crysis勒索病毒及其衍生变种影响的行业统计数据看,传统企业占32%,其次是政府机构、教育系统和医疗机构,如下图所示:

 

腾讯安全在《2019上半年勒索病毒总结》报告中指出,弱口令爆破攻传播是勒索病毒传播最常用的手段,在整个入侵方式占比中,弱口令攻击占34%,其它入侵方式依次为:垃圾邮件(20%)、漏洞攻击(18%)、僵尸网络传播(12%)。

 

据腾讯安全发布的《2019上半年企业安全报告》的数据,针对外网目标的爆破攻击中,RDP协议爆破排在第一位。

 

病毒在内网横向扩散时,利用远程桌面服务漏洞攻击传播的,排第二位。

 

二、Crysis勒索病毒感染的主要现象

一般情况

Crysis勒索病毒从2016年开始具有勒索活动,加密文件完成后通常会添加“ID+邮箱+指定后缀”格式的扩展后缀,例:“id-编号.[gracey1c6rwhite@aol.com].bip”,其家族衍生Phobos系列变种在今年2月开始也有所活跃。该病毒通常使用弱口令爆破的方式入侵企业服务器,安全意识薄弱的企业由于多台机器使用同一弱密码,面对该病毒极容易引起企业内服务器的大面积感染,进而造成业务系统瘫痪。

其Phobos衍生变种2019年2月出现,早期使用外壳程序保护勒索payload,外壳使用TEA算法解密payload执行,早期主要发现有2种形态的外壳程序,分别为Tea密钥存储在剪切板或外部一个名为k.txt的文档中,由于病毒运行完毕后直接清除剪切板或删除外部k.txt数据。所以无法拿到病毒运行时payload解密Key,早期只能通过外表判断该病毒是一个看起来和Crysis相似的勒索病毒,后期逐渐出现可获取勒索payload的病毒形态,可发现其代码流程,API引用方式等虽然与原始Crysis差别较大,但代码中依然有很多相似点。

 

 

 

Crysis病毒加密后的文件名(8月份监测结果)

Crysis加密文件使用的后缀变更频繁,以下为近期8月份使用的加密扩展格式:

id[7E3C017B-1095].[panindogliker@protonmail.com].PISCA

id-58D60F0A.[3442516480@qq.com].pdf

id[B8E9EC26-1095].[panindogliker@protonmail.com].PISCA

id[E6BAFD13-2374].[horsesecret@protonmail.com].HORSELIKER

id-869142FA.[bitcoin1@foxmail.com].harma

id-EE23FB1A.[MailPayment@decoding.biz].ETH

id[000B9811-1013].[clossoml@aol.com].help

id[B413BC21-2261].[kusachi@cock.li].Adair

id[06ECCA49-1096].[lockhelp@qq.com].acute

id[489E5FB3-2271].[worldofdonkeys@protonmail.com].BORISHORSE

id[9CE5DEF5-1015].[gregor.rachel@aol.com].phoenix

id-1E49184B.[support@qbmail.biz].nqix

id[9CE5DEF5-1015].[gregor.rachel@aol.com].phoenix

id[16F8E14A-1073].[iveson.tomkin@aol.com].Acton

id[D635329A-2322].[decrptsupp@keemail.me].Banta

ID-CE2F63A0.[btccrypthelp@cock.li].phobos

id[94755510-2250].[wewillhelpyou@qq.com].adage

Crysis相关PDB:

C:\crysis\Release\PDB\payload.pdb (原始Crysis)

C:\azalia\Prod\IM\ph_exec.pdb  (Crysis衍生phobos)

被加密的文件后缀格式:

后缀格式主要有两种。

1.id[7E3C017B-1095].[邮箱].后缀(常见于Crysis衍生Phobos系列)

2.id-58D60F0A.[邮箱].后缀(常见于原始Crysis使用)

早期可根据后缀格式来进行区分是否,但后期逐渐发现二者有交叉,例如ID-CE2F63A0.[btccrypthelp@cock.li].phobos即为原始Crysis加密使用后缀格式。

关于勒索邮箱:

Crysis使用邮箱多样,包含protonmail,foxmail,aol,cock,qbmail,keemail等。

同时该病毒是国内唯一无所顾忌使用qq邮箱进行传播的家族,例如

id-58D60F0A.[3442516480@qq.com].pdf(Crysis)

id[06ECCA49-1096].[lockhelp@qq.com].acute(Crysis衍生phobos)

id[94755510-2250].[wewillhelpyou@qq.com].adage(Crysis衍生phobos)

Crysis及其衍生的phobos变种具有一致的加密白名单(即不加密的文件名)

boot.ini、bootfont.bin、ntldr、ntdetect.com、Io.sys

Crysis及其衍生的phobos变种具有一致的加密文件扩展名清单:

 

Crysis及其衍生的phobos变种加密文件时判断大小文件均使用0x180000值

 

 

Crysis及其衍生的phobos变种具备多处相似度极高的代码

 

 

三、安全建议

 

企业用户:

针对Crysis病毒及其衍生的phobos变种的重点防御方案:


1.针对该勒索病毒主要通过RDP(远程桌面服务)爆破的特点,建议企业立即修改远程桌面连接使用弱口令,复杂口令可以减少服务器被黑客爆破成功的机会。管理员应对远程桌面服务使用的IP地址进行必要限制,或修改默认的3389端口为自定义,配置防火墙策略,阻止攻击者IP连接。


2.服务器使用腾讯御点终端安全管理系统或腾讯电脑管家拦截病毒,并启用文档守护者功能备份重要文档。


3. 企业用户可以使用腾讯御界高级威胁检测系统,御界系统可以检测到内网爆破攻击事件增多,及时提醒网管注意。

 

4.临时的缓解措施,通过修改计算机组策略,限制登录次数,默认为不受限,我们可以将其限制为3-10以内。

 

操作步骤:

运行,gpedit.msc,打开组策略编辑器,在计算机设置->安全设置->帐户策略->帐户锁定策略,将帐户锁定的阈值,设定的稍小一些。

 

对于使用Windows 活动目录管理的企业,可以在Windows域中更新策略,强制所有终端统一调整该策略。


通用的安全措施,防止入侵者爆破成功之后在内网横向扩散:


1.建议企业内网关闭不必要的网络端口,降低黑客在内网攻击传播的成功率。如:445、135,139等,对3389,5900等端口可进行白名单配置,只允许白名单内的IP连接登陆。


2、尽量关闭不必要的文件共享,如有需要,请使用ACL和强密码保护来限制访问权限,禁用对共享文件夹的匿名访问。


3、采用高强度的密码,避免使用弱口令密码,并定期更换密码。建议服务器密码使用高强度且无规律密码,并且强制要求每个服务器使用不同密码管理。


4、对没有互联需求的服务器/工作站内部访问设置相应控制,避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器。


5、对重要文件和数据(数据库等数据)进行定期非本地备份。


6、在终端/服务器部署专业安全防护软件,Web服务器可考虑部署在腾讯云等具备专业安全防护能力的云服务。


7、建议全网安装御点终端安全管理系统(https://s.tencent.com/product/yd/index.html)。御点终端安全管理系统具备终端杀毒统一管控、修复漏洞统一管控,以及策略管控等全方位的安全管理功能,可帮助企业管理者全面了解、管理企业内网安全状况、保护企业安全。

个人用户:
1、启用腾讯电脑管家,勿随意打开陌生邮件,关闭Office执行宏代码。


2、打开电脑管家的文档守护者功能,利用磁盘冗余空间自动备份数据文档,即使发生意外,数据也可有备无患。

 

IOCs

MD5

eb2b041e895e664c23f431e1ab7f2fe3
62d3580c88222c59a276a2df8445758c

b18712863305605ea4bbb0dd31a5e0eb
a0cc8605263bc360311fb5b2ed05549a
3f22b93ab701a6f6e58b111e1eb1c875
ce1773b3f3f70002f2b5e211f1a8da6d
7084624dac8f6935801b3cd71d04087b
11f08b3b4bfa8e1b8d95f25ce194fb08
74e9b5e635bf167ce9d752983e83d3ed
bf2da56e47999542de1b75c3a58763d2
b9953a472c905a2399bb41c71db8e0af

上一篇用友服务器中了.wiki后缀的勒索病..
下一篇中了Snake865qqz勒索病毒怎么处理

最新文章

用友T6软件新个税政策解决方案
T3软件进入不了营改增界面关闭不了,一直卡在那里
用友U8软件年底如何一次性结转本年利润
20年没结账可以做21年业务吗
sql server2008 r2 密钥
用友U8 单据保存提示违反了primary key约束'aaaa
最新图文教程

北京用友远程维护收

中了.msunhealth勒索

用友T6软件新个税政

T3软件进入不了营改

20年没结账可以做21

蠕虫病毒incaseforma

用友T3软件2021年年

HOW TO BACK YOUR FI

热门文章

[10-26]
[10-08]
[09-15]
[04-02]
[03-03]
[10-15]

推荐文章

相关文章

在线咨询
售后支持
  • 业务电话:010-84986180
  • 13720089039
  • 夜间值班:18910108696
  • 北京会计QQ群:6388368