【解决方案版】建筑行业出现集中式感染CrySiS勒索病毒，深信服率先提供解决方案

温馨贴士：参与文末话题讨论，可以赢s豆奖励哦～

近日，某公司接到多个建筑行业用户反馈，服务器被加密勒索，经过跟踪分析，确认感染CrySiS勒索病毒jack变种。截止目前，黑产团队多次通过社会工程、RDP暴力破解等方式有针对性地入侵建筑行业。由于同一行业之间，往往存在网络互通，提醒该行业用户一定要做好有效的隔离保护措施。

病毒名称：CrySiS勒索病毒jack变种

病毒性质：勒索病毒

影响范围：目前国内已有多个某公司感染，部分互联网企业感染

危害等级：高危

传播方式：通过社会工程、RDP暴力破解入侵

病毒描述

在2017年5月万能密钥被公布之后，CrySiS勒索病毒曾消失了一段时间。2018年重新开始活跃，2019年CrySiS勒索呈现规模化、产业化运作，植入到用户的服务器进行攻击。此次变种其加密后的文件的后缀名为.jack，由于CrySiS采用AES+RSA的加密方式，目前无法解密。

勒索信息特意提示ALL FIELS ENCRYPTED “RSA1024”(RSA1024是一种高强度非对称加密算法)，如下所示：

黑客邮箱为lockhelp@qq.com、1btc@decryption.biz等。

详细分析

此次捕获到的CrySiS其整体的功能流程图如下所示：

1、拷贝自身并设置自启动项，如下所示：

2、枚举主机中对应的服务，并结束：

相应的服务列表如下所示：

Windows Driver Foundation

User mode Driver Framework

wudfsvc

Windows Update

wuauserv

Security Center

wscsvc

Windows Management

Instrumentation

Winmgmt

Diagnostic Service Host

WdiServiceHost

VMWare Tools

VMTools.Desktop

Window Manager Session Manager

......

相应的反汇编代码如下：

3、枚举进程，并结束相关进程：

相应的进程列表如下：

1c8.exe

1cv77.exe

outlook.exe

postgres.exe

mysqld-nt.exe

mysqld.exe

sqlserver.exe

从上面的列表可以看出，此勒索病毒主要结束相应的数据库程序，防止这些程序占用相应的文件无法加密服务器的数据库文件,相应的反汇编代码如下所示：

4、删除卷影，防止数据恢复：

5、遍历局域网共享目录，并加密：

6、加密特定后缀的文件名：

对上面的文件类型进行加密，相应的反汇编代码如下：

加密后的文件后缀名为jack，如下所示：

7、弹出勒索信息界面，并设置为自启动注册表项，如下所示：

解决方案

针对已经出现勒索现象的用户，由于暂时没有解密工具，建议尽快对感染主机进行断网隔离。某公司提醒广大用户尽快做好病毒检测与防御措施，防范该病毒家族的勒索攻击。

AF

1、确认当前设备软件升级

要求防火墙软件版本为AF8.0.5及以上，同时开启SAVE杀毒功能模块，如下图：

2、确认当前规则库更新

要求防火墙软的规则库更新到最新，如下图：

3、开启安全功能

针对此次的“CrySiS勒索病毒jack变种”防护，某公司 AF建议针对【内网有上网权限主机】，开启 “SAVE安全智能文件检测”功能。针对【需要对外提供RDP服务的主机】，开启“暴力破解”功能，配置如下：

①【策略】-【安全策略】-【安全防护策略】界面，新增【用户防护策略】，如下：

②【策略】-【安全策略】-【安全防护策略】界面，新增【业务防护策略】，如下：

安全感知

1、SIP能连接互联网情况

首先将IOC库更新到2019-5月28号，可通过平台自动升级，也可以手动触发升级，如下：

确认更新到2019年5月28号的IOC库，更新完成后如下:

2、SIP不能连接互联网情况

手动更新IOC库到2019年5月28号，链接如下：

https://bbs.sangfor.com.cn/plugin.php?id=service:download&action=view&fid=100000021428125#/100000035154687/all

EDR

针对“CrySiS勒索病毒jack变种”病毒检测，EDR需要开启病毒查杀、勒索病毒防护、防暴力破解。

1、更新病毒库

更新病毒库到20190603155843及以上版本，即可对CrySiS勒索病毒jack变种进行查杀。

①EDR管理平台能连接互联网情况：

通过以下界面检查EDR管理平台是否完成自动更新。

②EDR管理平台不能联网情况：

通过以下地址下载离线病毒库，导入EDR管理平台更新。

https://bbs.sangfor.com.cn/plugin.php?id=service:download&action=view&fid=100000022878128#/100000037221875/all

病毒库需要解压，解压密码为sangfor，得到pkg文件，通过以下界面导入EDR管理平台。

2、开启安全策略

①启用实时防护策略

针对内网终端启用实时防护策略，开启文件实时监控、勒索病毒防护、暴力破解检测，配置如下图：

②启用病毒查杀策略

针对内网windows终端启用病毒查杀策略，配置定时查杀，配置如下图：

对内网终端进行进行一次全盘查杀，检查内网是否已经感染病毒，如下图：

咨询与服务

您可以通过以下方式联系我们，获取关于CrySiS勒索病毒jack变种的免费咨询及支持服务：

1）拨打电话400-630-6430转6号线（已开通勒索软件专线）

2）关注【某公司技术服务】微信公众号，选择“智能服务”菜单，进行咨询

3）PC端访问某公司区

bbs.sangfor.com.cn，选择右侧智能客服，进行咨询

---

【有奖小互动】

“勒索病毒防不胜防，日常我们应该注意哪些小细节？你有何有效的规避方法呢？”

大神请留步！一起来说两句吧～

有效回帖者可以获得20s豆奖励哦！

---

友情链接：

新型勒索病毒Attention感染医疗与半导体行业

警惕利用Office漏洞传播商业间谍软件AgentTesla

1 可疑的连接 邮件 不要轻易打开
2 安装可信的杀毒软件  及时更新病毒库
3 数据及时备份  异地备份
4 封堵不用的端口

对于病毒的预防可:
1 电脑系统的补丁要及时更新
2  电脑的杀毒软件也要及时更新
3 网络的IDS和IPS也向做好调整
4  网络设备的防火墙做好库更新
5  对来历不明的邮件，要有安全意思。

要经常备份重要数据

现在流行勒索病毒

变化着流行。要多注意

看起来很高级的样子

关闭被利用端口，然后就是按大家提供搞，应该好点

我就遇到勒索病毒，两台内网服务器中毒，最后都是重装电脑系统。啥数据都没了，最后倒逼买了一台新的AF设备。

牛批，有幸跟总部的研发过去参与了这次病毒查杀，被他们的技术能力折服