Crysis勒索病毒变种 不仅加密文件还删除备份
2018-10-25
威胁等级:★★★★
Crysis_bip勒索病毒是黑客利用弱口令暴力破解受害者电脑导致其中毒,该病毒变种运行后会加密受害者电脑中的文件,删除系统自带备份。病毒使用对称加密算法AES加密文件,并使用非对称加密算法RSA加密密钥,因此如果没有黑客的RSA私钥无法解密文件。
背景介绍
此病毒是Crysis / Dharma勒索病毒变种,运行后加密受害者计算机中的文件,索要赎金。被加密文件 后缀名被追加如下字符串 id-[%id].[gracey1c6rwhite@aol.com].bip,其中[%id]代表8位数字编号。
病毒攻击视频:
查杀病毒视频:
拦截病毒视频:
行为分析
1.通过PDB路径 可以发现 病毒作者将此病毒命名为crysis
offset:000a5248==> C:\crysis\Release\PDB\payload.pdb
2.运行之后复制到系统目录
C:\Windows\System32\vir.exe
3.复制到自启动文件夹,开机自启动
4.删除磁盘卷影备份
vssadmin delete shadows /all /quiet
5.加密文件,并修改后缀
6.弹出勒索窗口
7.生成勒索文档
8.此病毒通常情况下是通过RDP弱口令植入到中毒机器
攻击者可以快速的扫描互联网中的计算机,如果RDP远程桌面密码过于简单,在攻击者的弱口令密码列表里面,那么攻击者就可以植入病毒并运行。
防范措施
不运行可疑程序
系统不要使用弱口令密码
及时更新系统补丁
服务器还要及时更新服务器软件和数据库软件的补丁
安装杀毒软件,及时更新病毒库
定期备份重要文件
编辑:瑞瑞 阅读: