怎样卸载瑞星(怎样卸载瑞星软件部署系统)

  Crysis勒索病毒变种 不仅加密文件还删除备份

  2018-10-25

  威胁等级:★★★★

  Crysis_bip勒索病毒是黑客利用弱口令暴力破解受害者电脑导致其中毒,该病毒变种运行后会加密受害者电脑中的文件,删除系统自带备份。病毒使用对称加密算法AES加密文件,并使用非对称加密算法RSA加密密钥,因此如果没有黑客的RSA私钥无法解密文件。

  背景介绍

  此病毒是Crysis / Dharma勒索病毒变种,运行后加密受害者计算机中的文件,索要赎金。被加密文件 后缀名被追加如下字符串 id-[%id].[gracey1c6rwhite@aol.com].bip,其中[%id]代表8位数字编号。

  病毒攻击视频:

  查杀病毒视频:

  拦截病毒视频:

  行为分析

  1.通过PDB路径 可以发现 病毒作者将此病毒命名为crysis

  offset:000a5248==> C:\crysis\Release\PDB\payload.pdb

  2.运行之后复制到系统目录

  C:\Windows\System32\vir.exe

  3.复制到自启动文件夹,开机自启动

  怎样卸载瑞星(怎样卸载瑞星软件部署系统)

  4.删除磁盘卷影备份

  vssadmin delete shadows /all /quiet

  5.加密文件,并修改后缀

  怎样卸载瑞星(怎样卸载瑞星软件部署系统)

  6.弹出勒索窗口

  怎样卸载瑞星(怎样卸载瑞星软件部署系统)

  7.生成勒索文档

  怎样卸载瑞星(怎样卸载瑞星软件部署系统)

  8.此病毒通常情况下是通过RDP弱口令植入到中毒机器

  攻击者可以快速的扫描互联网中的计算机,如果RDP远程桌面密码过于简单,在攻击者的弱口令密码列表里面,那么攻击者就可以植入病毒并运行。

  防范措施

  不运行可疑程序

  系统不要使用弱口令密码

  及时更新系统补丁

  服务器还要及时更新服务器软件和数据库软件的补丁

  安装杀毒软件,及时更新病毒库

  定期备份重要文件

  编辑:瑞瑞 阅读: