Crysis勒索病毒变种 不仅加密文件还删除备份

　　2018-10-25

　　威胁等级：★★★★

　　Crysis_bip勒索病毒是黑客利用弱口令暴力破解受害者电脑导致其中毒，该病毒变种运行后会加密受害者电脑中的文件，删除系统自带备份。病毒使用对称加密算法AES加密文件，并使用非对称加密算法RSA加密密钥，因此如果没有黑客的RSA私钥无法解密文件。

　　背景介绍

　　此病毒是Crysis / Dharma勒索病毒变种，运行后加密受害者计算机中的文件，索要赎金。被加密文件 后缀名被追加如下字符串 id-[%id].[gracey1c6rwhite@aol.com].bip，其中[%id]代表8位数字编号。

　　病毒攻击视频：

　　查杀病毒视频：

　　拦截病毒视频：

　　行为分析

　　1.通过PDB路径 可以发现 病毒作者将此病毒命名为crysis

　　offset:000a5248==> C:\crysis\Release\PDB\payload.pdb

　　2.运行之后复制到系统目录

　　C:\Windows\System32\vir.exe

　　3.复制到自启动文件夹，开机自启动

　　

　　4.删除磁盘卷影备份

　　vssadmin delete shadows /all /quiet

　　5.加密文件，并修改后缀

　　

　　6.弹出勒索窗口

　　

　　7.生成勒索文档

　　

　　8.此病毒通常情况下是通过RDP弱口令植入到中毒机器

　　攻击者可以快速的扫描互联网中的计算机，如果RDP远程桌面密码过于简单，在攻击者的弱口令密码列表里面，那么攻击者就可以植入病毒并运行。

　　防范措施

　　不运行可疑程序

　　系统不要使用弱口令密码

　　及时更新系统补丁

　　服务器还要及时更新服务器软件和数据库软件的补丁

　　安装杀毒软件，及时更新病毒库

　　定期备份重要文件

　　编辑：瑞瑞 阅读：