Crysis病毒

Crysis Ransomware是一种恶意软件威胁，它锁定受感染计算机上的文件，然后要求赎金以换取解密密钥。用Crysis加密的文件对用户来说变得不可访问，并且由于恶意软件使用一种复杂的方法来加密受害者计算机上的文件，因此几乎无法恢复存储在其中的数据。这种感染的副作用也是计算机的整体性能缓慢，以及某些工具和应用程序无法正常工作。 Crysis勒索软件仅影响运行Windows操作系统的计算机，该漏洞于2016年3月首次出现。此后，网络安全研究人员确定了该危险勒索软件的许多不同变体和版本，并且由于其中一些与其他重大威胁非常相似，例如Dharma和Arena勒索软件，专家们决定将所有这些威胁称为Crysis / Dharma Ransomware系列。就像家族中的其他恶意软件一样，孤岛危机将特定的扩展名附加到加密文件中，但是，扩展名会根据恶意软件的哪种特定变体感染计算机而有所不同。

由于Crysis具有扩展的恶意功能，应在发现Crysis后尽快将其删除，并且PC安全专家建议不要与网络犯罪分子联系，也不要支付所需的赎金，因为无法保证他们会确实将您的邮件发送给您。承诺的解密密钥。多年来，《孤岛危机》勒索软件的发行渠道也在不断发展。最初，包含恶意附件和损坏的链接的垃圾邮件已成为分发这种危险勒索软件的主要手段，但目前，攻击者并不依靠社会工程技术来进行攻击。

发行方式

自2016年9月以来，《孤岛危机》主要通过受保护较弱的远程桌面协议（RDP）进行分发，由此在澳大利亚和新西兰就已注册了此类首次攻击。为了通过此通道对计算机进行黑客攻击，攻击者首先在Internet上扫描未受保护的RDP，然后通过破解必要的Windows密码（用于管理员访问系统）来在端口3389上将其连接。然后，他们在目标系统上手动安装恶意软件，从而他们还可以在连接到被黑客入侵的计算机的所有其他外围设备以及连接到同一网络的其他计算机上运行恶意脚本。

Crysis家族的勒索软件最初主要针对个人PC用户，但是，自2月初以来，网络安全研究人员发现了该恶意软件家族发展的新趋势。除了攻击数量的惊人增长和勒索软件的全球扩展之外，攻击者还改变了策略，现在主要针对大型公司和大型机构。为此，在扫描开放的RDP端口时，黑客现在试图找出连接到特定网络的计算机是否是公司计算机，在这种情况下，他们更有可能继续受到攻击。从逻辑上讲，这种转变的原因是这样的事实，即公司更有可能支付大量赎金以取回其数据。

技术数据

如前所述，恶意软件是手动安装在目标计算机上的。但是，在实际安装之前和加密过程开始之前，勒索软件所有者删除了一些键盘记录程序，通过它们它们可以监视受害者的活动，并收集常规系统数据以及与特定用户有关的个人数据。正是通过这种凭据收集和监视活动，黑客才能扩大攻击范围，并破坏连接到同一网络的其他设备或资源。同时，收集到的数据还允许黑客根据受害者是个人用户还是公司来定制所需的赎金数额。因此，例如，如果Crysis勒索软件变种袭击了大型公司网络，则该金额可能达到数千美元。

安装后，勒索软件执行的第一个操作是在Windows注册表中创建其自己的启动密钥，以及在包含合法Windows文件（例如C：\ Windows \ System32，C：\ Program Data）的文件夹中创建其代码副本。 ，C：\ Program Files和C：\ Users \ Programs \ Startup。这样做是为了确保恶意软件的持久性并允许对最近创建的文件进行加密。属于Crysis的恶意文件，进程和注册表项可以具有随机的不同名称，因此很难立即识别它们并将它们与属于Windows操作系统的合法对象区分开。这是删除此勒索软件通常需要专业的恶意软件清除工具的原因之一。

Crysis例程的下一步是扫描受感染计算机硬盘上的所有文件，并将它们与适合加密的内置文件列表进行比较。该列表几乎包括所有流行的文件格式，以确保恶意软件设法识别和加密所有可能包含任何形式的有价值的用户数据的文件。此外，《孤岛危机》已成为真正的备受关注的勒索软件威胁，因为其最新版本能够对受感染机器上的几乎每个文件进行加密，包括没有扩展名和可执行文件的文件，以及与文件位置无关的文件-固定，可移动或网络驱动器。这在其他勒索软件案例中是前所未有的，它证明了Crysis / Dharma勒索软件系列的可怕恶意功能。至于Crysis勒索软件所采用的加密引擎（对于整个勒索软件系列来说都是典型的），Crysis使用RSA加密和AES-128加密算法的混合，并将私钥存储在黑客的服务器上。自2016年首次亮相以来，来自孤岛危机系列的各种勒索软件威胁已对加密文件添加了不同的扩展名。从第一个版本开始按时间顺序排列，这些扩展名是：.crysis，.dharma，.wallet，.onion，.arena，.cobra，.java，.arrow，.bip，.cmb，.brr 、.伽玛，.bkp，.monro，.boost，.adobe，.cccmn，.AUDIT，.tron。在今年11月中旬检测到的最新版本的Crysis会将.Back和.Bear扩展名添加到锁定文件中，而在某些情况下，攻击者的联系地址也将添加到加密文件的名称中。作为唯一的受害者ID，该ID是为每个受感染用户单独生成的。

加密完成后，孤岛危机会以文本文件的形式创建赎金记录，恶意软件所有者在其中解释受害者应如何联系他们以及应如何支付赎金。该恶意软件通常为赎金记录创建两个文件-一个自动打开并替换用户默认桌面图像的HTML文件，以及一个放置在桌面上（有时在任何受感染的文件夹中）的TXT文件。这些赎金记录文件可以命名为Help_Decrypt_FILES.html，Help_Decrypt_FILES.txt，info.hta，文件加密!!。txt，而赎金记录本身指出以下内容：

“注意！您的计算机受到了病毒编码器的攻击。
您的所有文件都经过加密后加密，没有原始密钥就无法恢复！要获取解码器和原始密钥，您需要在电子邮件：dalailama2015@protonmail.ch上写信给我们，主题为“ encryption”，说明您的ID。
写在案件中，不要将您和我们的时间浪费在空虚的威胁上。
仅对适当人的信件答复不足以忽略。
PS仅在万一48小时内未收到第一个电子邮件地址回复的情况下，请使用此替代电子邮件goldman0@india.com。”

研究表明，《孤岛危机》赎金记录中给出的两个电子邮件地址属于位于捷克共和国和印度的域，但是不能从这个事实得出结论，该恶意软件也源自这些国家。 2017年末出现的一个版本指示受害人联系其他电子邮件地址以获取付款说明，即cranbery@colorendgrace.com。该恶意软件用于与其受害者通信的其他已知地址包括Decryptallfiles @ india.com，Tree_of_life @ india.com，mailrepa.lotos @ aol.com，Guardware @ india.com。

免费解密工具已针对2017年5月之前发布的某些版本发布，而对于其余变体，加密文件只能从备份中恢复并不少见。这来自Crysis能够执行的另一种恶意活动-可对其进行编程以删除卷影副本和系统还原点，因此，如果没有专业的备份恢复解决方案，就不可能恢复加密数据。该恶意软件还可以在受感染的计算机上部署其他木马和其他威胁，例如，使攻击者可以实时监视所有用户活动。 Crysis勒索软件丢弃的流行恶意负载还包括加密货币矿工，键盘记录程序和其他病毒。

预防和清除技术

为了避免感染Crysis勒索软件，建议对计算机的通信通道使用强密码。此外，建议用户随时安装可靠的反恶意软件程序，启用防火墙并保持其系统最新。互联网上负责任和安全的行为也可以防止Crysis勒索软件感染，其中包括避免可疑网站包含恶意内容，忽略未知发件人的电子邮件附件以及仅从授权来源下载文件，程序和软件更新。维护所有重要数据的定期备份也是必须的，因为有时，这是从系统中删除恶意软件后，可以恢复受这种勒索软件威胁锁定的文件的唯一方法。

一旦计算机感染了孤岛危机，就不建议您尝试使用没有专业的删除工具的计算机将其删除。这种类型的恶意软件将其恶意文件丢弃在Windows操作系统的核心中，从而影响了关键的合法Windows应用程序和进程，并使经验不足的用户很难找到并删除这些文件而又不会干扰计算机的正常运行。彻底清除Crysis勒索软件对您的PC至关重要，因为如果恶意软件的某些部分保留在系统中，它可以轻松地开始再次加密文件。

当Crysis Ransomware进入计算机时，它将扫描受影响的硬盘，以搜索要加密的文件。 Crysis Ransomware在其配置设置中包含要搜索的文件扩展名列表。在Crysis Ransomware攻击过程中加密的常见文件类型包括：

.odc，.odm，.odp，.ods，.odt，.docm，.docx，.doc，.odb，.mp4，sql，.7z，.m4a，.rar，.wma，.gdb，.tax， .pkpass，.bc6，.bc7，.avi，.wmv，.csv，.d3dbsp，.zip，.sie，.sum，.ibank，.t13，.t12，.qdf，.bkp，.qic，.bkf ，.sidn，.sidd，.mddata，.itl，.itdb，.icxs，.hvpl，.hplg，.hkdb，.mdbackup，.syncdb，.gho，.cas，.svg，.map，.wmo 、. itm，.sb，.fos，.mov，.vdf，.ztmp，.sis，.sid，.ncf，.menu，.layout，.dmp，.blob，.esm，.vcf，.vtf，.dazip， .fpk，.mlx，.kf，.iwd，.vpk，.tor，.psk，.rim，.w3x，.fsh，.ntl，.arch00，.lvl，.snx，.cfr，.ff，.vpp_pc ，.lrf，.m2，.mcmeta，.vfs0，.mpqge，.kdb，.db0，.dba，.rofl，.hkx，.bar，.upk，.das，.iwi，.litemod，.asset 、.伪造，.ltx，.bsa，.apk，.re4，.sav，.lbf，.slm，.bik，.epk，.rgss3a，.pak，.big，钱包，.wotreplay，.xxx，.desc 、. py，.m3u，.flv，.js，.css，.rb，.png，.jpeg，.txt，.p7c，.p7b，.p12，.pfx，.pem，.crt，.cer，.der， .x3f，.srw，.pef，.ptx，.r3d，.rw2，.rwl，.raw，.raf，.orf，.nrw，.mrwref，.mef，.erf，.kdc，.dcr，.cr2 ，.crw，.bay，.sr2，.srf，.arw， .3fr，.dng，.jpe，.jpg，.cdr，.indd，.ai，.eps，.pdf，.pdd，.psd，.dbf，.mdf，.wb2，.rtf，.wpd，.dxg ，.xf，.dwg，.pst，.accdb，.mdb，.pptm，.pptx，.ppt，.xlk，.xlsb，.xlsm，.xlsx，.xls，.wps。

“ .AUF文件扩展名”勒索软件是一种文件加密木马，其攻击可能导致无法快速访问大多数文件。这是因为此威胁被编程为使用安全的文件锁定算法，该算法利用唯一生成的加密密钥来锁定常用文件格式（例如文档，图像，视频，档案等）的内容。所有加密数据的名称都将更改为包括“ .AUF”扩展名，例如，在攻击后，名为“ backup.rar”的文件将命名为“ backup.rar.AUF”。

“ .AUF文件扩展名”勒索软件已被识别为“孤岛危机”勒索软件的稍作修改，并且不幸的是，这意味着其受害者将无法依靠免费的解密程序来帮助他们恢复文件。在“ .AUF文件扩展名”勒索软件进行攻击之后，它会发出赎金字样，目的是向受害者提供联系方式以及有关他们希望再次使用其文件时应采取的措施的说明。坏消息是，攻击者提供的解决方案相当昂贵-他们要求获得比特币付款以换取其解密软件。我们不建议向刚用您的计算机感染恶意软件的匿名网络罪犯汇款，因为他们很容易在不向您提供任何回报的情况下就拿走这笔钱。用于Crysis Ransomware系列特定成员的电子邮件是Decisivekey@tutanota.com。

作为“ .AUF文件扩展名”勒索软件的受害者，您甚至不应考虑与攻击者联系，因为由此带来的好处不大可能。相反，您应该立即运行可信任的反恶意软件工具，并使用其扫描程序清除链接到“ .AUF文件扩展名”勒索软件的所有文件。完成此任务后，应继续进行恢复过程的最后一步，这需要您从备份中还原文件或使用备用文件恢复实用程序。

SpyHunter 检测并删除 Crysis病毒