Crysis病毒

Crysis病毒說明

類型: Ransomware

Crysis Ransomware是一種惡意軟件威脅,它鎖定受感染計算機上的文件,然後要求贖金以換取解密密鑰。用Crysis加密的文件對用戶來說變得不可訪問,並且由於惡意軟件使用一種複雜的方法來加密受害者計算機上的文件,因此幾乎無法恢復存儲在其中的數據。這種感染的副作用也是計算機的整體性能緩慢,以及某些工具和應用程序無法正常工作。 Crysis勒索軟件僅影響運行Windows操作系統的計算機,該漏洞於2016年3月首次出現。此後,網絡安全研究人員確定了該危險勒索軟件的許多不同變體和版本,並且由於其中一些與其他重大威脅非常相似,例如Dharma和Arena勒索軟件,專家們決定將所有這些威脅稱為Crysis / Dharma Ransomware系列。就像家族中的其他惡意軟件一樣,孤島危機將特定的擴展名附加到加密文件中,但是,擴展名會根據惡意軟件的哪種特定變體感染計算機而有所不同。

由於Crysis具有擴展的惡意功能,應在發現Crysis後儘快將其刪除,並且PC安全專家建議不要與網絡犯罪分子聯繫,也不要支付所需的贖金,因為無法保證他們會確實將您的郵件發送給您。承諾的解密密鑰。多年來,《孤島危機》勒索軟件的發行渠道也在不斷發展。最初,包含惡意附件和損壞的鏈接的垃圾郵件是分發這種危險勒索軟件的主要手段,但目前,攻擊者並不依靠社會工程技術來進行攻擊。

發行方式

自2016年9月以來,《孤島危機》主要通過受保護較弱的遠程桌面協議(RDP)進行分發,由此在澳大利亞和新西蘭就已註冊了此類首次攻擊。為了通過此通道對計算機進行黑客攻擊,攻擊者首先在Internet上掃描不受保護的RDP,然後通過破解管理員訪問系統所需的Windows密碼,通過端口3389連接到它們。然後,他們在目標系統上手動安裝惡意軟件,從而可以在連接到被黑客入侵的計算機的所有其他外圍設備以及連接到同一網絡的其他計算機上運行惡意腳本。

Crysis家族的勒索軟件最初主要針對個人PC用戶,但是,自2月初以來,網絡安全研究人員發現了該惡意軟件家族發展的新趨勢。除了攻擊數量的驚人增長和勒索軟件的全球擴展之外,攻擊者還改變了策略,現在主要針對大型公司和大型機構。為此,黑客現在在掃描開放的RDP端口時,試圖找出連接到特定網絡的計算機是否是公司計算機,在這種情況下,他們更有可能繼續受到攻擊。從邏輯上講,這種轉變的原因是這樣的事實,即公司更有可能支付大量贖金以取回其數據。

技術數據

如前所述,惡意軟件是手動安裝在目標計算機上的。但是,在實際安裝之前和加密過程開始之前,勒索軟件所有者刪除了一些鍵盤記錄程序,通過它們它們可以監視受害者的活動,並收集常規系統數據以及與特定用戶有關的個人數據。正是通過這種憑據收集和監視活動,黑客才能擴大攻擊範圍,並破壞連接到同一網絡的其他設備或資源。同時,收集到的數據還允許黑客根據受害者是個人用戶還是公司來定制所需的贖金數額。因此,例如,如果Crysis勒索軟件變種襲擊了大型公司網絡,則該金額可能達到數千美元。

安裝後,勒索軟件執行的第一個操作是在Windows註冊表中創建其自己的啟動密鑰,以及在包含合法Windows文件(例如C:\ Windows \ System32,C:\ Program Data)的文件夾中創建其代碼副本。 ,C:\ Program Files和C:\ Users \ Programs \ Startup。這樣做是為了確保惡意軟件的持久性並允許對最近創建的文件進行加密。屬於Crysis的惡意文件,進程和註冊表項可以具有隨機的不同名稱,因此很難立即識別它們並將它們與屬於Windows操作系統的合法對象區分開。這是刪除此勒索軟件通常需要專業的惡意軟件清除工具的原因之一。

Crysis例程的下一步是掃描受感染計算機硬盤上的所有文件,並將它們與適合加密的內置文件列表進行比較。該列表幾乎包括所有流行的文件格式,以確保惡意軟件設法識別和加密所有可能包含任何形式的有價值的用戶數據的文件。此外,《孤島危機》已成為真正的備受關注的勒索軟件威脅,因為其最新版本能夠對受感染機器上的幾乎每個文件進行加密,包括沒有擴展名和可執行文件的文件,以及與文件位置無關的文件-固定,可移動或網絡驅動器。這在其他勒索軟件案例中是前所未有的,它證明了Crysis / Dharma勒索軟件系列的可怕惡意功能。至於Crysis勒索軟件所採用的加密引擎(對於整個勒索軟件系列來說都是典型的),Crysis使用RSA加密和AES-128加密算法的混合,並將私鑰存儲在黑客的服務器上。自2016年首次亮相以來,來自孤島危機系列的各種勒索軟件威脅已對加密文件添加了不同的擴展名。從第一個版本開始按時間順序排列,這些擴展名是:.crysis,.dharma,.wallet,.onion,.arena,.cobra,.java,.arrow,.bip,.cmb,.brr 、.伽瑪,.bkp,.monro,.boost,.adobe,.cccmn,.AUDIT,.tron。在今年11月中旬檢測到的最新版本的Crysis會將.Back和.Bear擴展名添加到鎖定文件中,而在某些情況下,攻擊者的聯繫地址也將添加到加密文件的名稱中。作為唯一的受害者ID,該ID是為每個受感染用戶單獨生成的。

加密完成後,孤島危機會以文本文件的形式創建贖金記錄,惡意軟件所有者在其中解釋受害者應如何联系他們以及應如何支付贖金。該惡意軟件通常為贖金記錄創建兩個文件-一個自動打開並替換用戶默認桌面圖像的HTML文件,以及一個放置在桌面上(有時在任何受感染的文件夾中)的TXT文件。這些贖金記錄文件可以命名為Help_Decrypt_FILES.html,Help_Decrypt_FILES.txt,info.hta,文件加密!!。txt,而贖金記錄本身指出以下內容:

“注意!您的計算機受到了病毒編碼器的攻擊。
您的所有文件都經過加密後加密,沒有原始密鑰就無法恢復!要獲取解碼器和原始密鑰,您需要在電子郵件:dalailama2015@protonmail.ch上寫信給我們,主題為“ encryption”,說明您的ID。
寫在案件中,不要將您和我們的時間浪費在空虛的威脅上。
僅對適當人的信件答復不足以忽略。
PS僅在萬一48小時內未收到第一個電子郵件地址回复的情況下,請使用此替代電子郵件goldman0@india.com。”

研究表明,《孤島危機》贖金記錄中給出的兩個電子郵件地址屬於位於捷克共和國和印度的域,但是不能從這個事實得出結論,該惡意軟件也來自這些國家。 2017年末出現的一個版本指示受害人聯繫其他電子郵件地址以獲取付款說明,即cranbery@colorendgrace.com。該惡意軟件用於與其受害者通信的其他已知地址包括Decryptallfiles @ india.com,Tree_of_life @ india.com,mailrepa.lotos @ aol.com,Guardware @ india.com。

免費解密工具已針對2017年5月之前發布的某些版本發布,而對於其餘變體,加密文件只能從備份中恢復並不少見。這來自Crysis能夠執行的另一種惡意活動-可對其進行編程以刪除卷影副本和系統還原點,因此,如果沒有專業的備份恢復解決方案,就不可能恢復加密數據。該惡意軟件還可以在受感染的計算機上部署其他木馬和其他威脅,例如,使攻擊者可以實時監視所有用戶活動。 Crysis勒索軟件丟棄的流行惡意負載還包括加密貨幣礦工,鍵盤記錄程序和其他病毒。

預防和清除技術

為了避免感染Crysis勒索軟件,建議對計算機的通信通道使用強密碼。此外,建議用戶隨時安裝可靠的反惡意軟件程序,啟用防火牆並保持其係統最新。互聯網上負責任和安全的行為也可以防止Crysis勒索軟件感染,其中包括避免可疑網站包含惡意內容,忽略未知發件人的電子郵件附件以及僅從授權來源下載文件,程序和軟件更新。維護所有重要數據的定期備份也是必須的,因為有時,這是從系統中刪除惡意軟件後,可以恢復受這種勒索軟件威脅鎖定的文件的唯一方法。

一旦計算機感染了孤島危機,就不建議您嘗試使用沒有專業的刪除工具的計算機將其刪除。這種類型的惡意軟件將其惡意文件丟棄在Windows操作系統的核心中,從而影響了關鍵的合法Windows應用程序和進程,並使經驗不足的用戶很難找到並刪除這些文件而又不會干擾計算機的正常運行。徹底清除Crysis勒索軟件對您的PC至關重要,因為如果惡意軟件的某些部分保留在系統中,它可以輕鬆地開始再次加密文件。

當Crysis Ransomware進入計算機時,它將掃描受影響的硬盤驅動器,以搜索要加密的文件。 Crysis Ransomware在其配置設置中包含要搜索的文件擴展名列表。在Crysis Ransomware攻擊過程中加密的常見文件類型包括:

.odc,.odm,.odp,.ods,.odt,.docm,.docx,.doc,.odb,.mp4,sql,.7z,.m4a,.rar,.wma,.gdb,.tax, .pkpass,.bc6,.bc7,.avi,.wmv,.csv,.d3dbsp,.zip,.sie,.sum,.ibank,.t13,.t12,.qdf,.bkp,.qic,.bkf ,.sidn,.sidd,.mddata,.itl,.itdb,.icxs,.hvpl,.hplg,.hkdb,.mdbackup,.syncdb,.gho,.cas,.svg,.map,.wmo 、. itm,.sb,.fos,.mov,.vdf,.ztmp,.sis,.sid,.ncf,.menu,.layout,.dmp,.blob,.esm,.vcf,.vtf,.dazip, .fpk,.mlx,.kf,.iwd,.vpk,.tor,.psk,.rim,.w3x,.fsh,.ntl,.arch00,.lvl,.snx,.cfr,.ff,.vpp_pc ,.lrf,.m2,.mcmeta,.vfs0,.mpqge,.kdb,.db0,.dba,.rofl,.hkx,.bar,.upk,.das,.iwi,.litemod,.asset 、.偽造,.ltx,.bsa,.apk,.re4,.sav,.lbf,.slm,.bik,.epk,.rgss3a,.pak,.big,錢包,.wotreplay,.xxx,.desc 、. py,.m3u,.flv,.js,.css,.rb,.png,.jpeg,.txt,.p7c,.p7b,.p12,.pfx,.pem,.crt,.cer,.der, .x3f,.srw,.pef,.ptx,.r3d,.rw2,.rwl,.raw,.raf,.orf,.nrw,.mrwref,.mef,.erf,.kdc,.dcr,.cr2 ,.crw,.bay,.sr2,.srf,.arw, .3fr,.dng,.jpe,.jpg,.cdr,.indd,.ai,.eps,.pdf,.pdd,.psd,.dbf,.mdf,.wb2,.rtf,.wpd,.dxg ,.xf,.dwg,.pst,.accdb,.mdb,.pptm,.pptx,.ppt,.xlk,.xlsb,.xlsm,.xlsx,.xls,.wps。

“ .AUF文件擴展名”勒索軟件是一種文件加密木馬,其攻擊可能導致無法快速訪問大多數文件。這是因為此威脅被編程為使用安全的文件鎖定算法,該算法利用唯一生成的加密密鑰來鎖定常用文件格式(例如文檔,圖像,視頻,檔案等)的內容。所有加密數據的名稱都將更改為包括“ .AUF”擴展名,例如,在攻擊後,名為“ backup.rar”的文件將命名為“ backup.rar.AUF”。

“ .AUF文件擴展名”勒索軟件已被識別為“孤島危機”勒索軟件的稍作修改,並且不幸的是,這意味著其受害者將無法依靠免費的解密程序來幫助他們恢復文件。在“ .AUF文件擴展名”勒索軟件進行攻擊之後,它會發出贖金字樣,目的是向受害者提供聯繫方式以及有關他們希望再次使用其文件時應採取的措施的說明。壞消息是,攻擊者提供的解決方案相當昂貴-他們要求獲得比特幣付款以換取其解密軟件。我們不建議將錢寄給剛用惡意軟件感染您計算機的匿名網絡罪犯,因為他們很容易在不向您提供任何回報的情況下拿走錢。用於Crysis Ransomware系列特定成員的電子郵件是Decisivekey@tutanota.com。

作為“ .AUF文件擴展名”勒索軟件的受害者,您甚至不應該考慮與攻擊者聯繫,因為由此帶來的好處不大可能。相反,您應該立即運行可信賴的反惡意軟件工具,並使用其掃描程序清除鏈接到“ .AUF文件擴展名”勒索軟件的所有文件。完成此任務後,應繼續進行恢復過程的最後一步,這需要您從備份中還原文件或使用備用文件恢復實用程序。

技術信息

文件系統詳情

Crysis病毒創建以下文件:
# 文件名 MD5 檢測計數
1 3A13.tmp.exe cced409e95d6c2e44823381df3880d96 139
2 2110.exe 2566cea080491a6e9c64102b66cb2d1a 102
3 C877.tmp.exe b0f46ff6a22ba47e9847c60bf231d16d 94
4 67E7.tmp.exe 846b068b46c7e07fd375c5337b50476b 91
5 731.tmp.exe 7c7d821e85b6f5d237612a0ad63c5244 85
6 conhost.exe e17c681354771b875301fa30396b0835 80
7 53BB.tmp.exe b510cded2f1ecb49eca3bf95b2ce447e 77
8 914E.tmp.exe dcfd90a02459ee819324c016c1d8ced3 76
9 DD27.tmp.exe 45cef6ecf660235aecb98dc1464e71cb 72
10 A32F.tmp.exe 967238434e258179705b842946715064 67
11 E62B.tmp.exe e853c4cbf08ee22314aa3774df173253 62
12 B7C9.tmp.exe 9390d7fcb41867482a31c355c311ba03 49
13 7bd2.tmp.exe bdcc1679cd27d8b9e601c58e4b2a4f4e 45
14 3CD.tmp.exe 299ed986a6988eb277a59c377d72f538 44
15 75E6.tmp.exe 6bd4da60c0a7e5f1cfa78c6f9ed46c82 38
16 20e12340.exe 054c992351af060048b6c6e0b4c74e53 38
17 99FE.tmp.exe 3b6920ae5d16db71e5faec28ec14839c 35
18 63D9.tmp.exe fb18d3a278711aa1c2aa810adc020fe7 21
19 a881.tmp.exe 289b13c43f1591d099b8fbf9a3c6fd52 17
20 bea04ab8.exe c693cee97c59515423021f0833fb7ae2 15
21 113_1.exe d514d2c83259736eb02e9c21c70cf7ce 12
22 1Ocean.exe 6493d3c8185bc890925ab2533072b560 10
23 y5sxvjna.part 681949435d7ea0b71d91078943411a39 9
24 d2c14b63.exe ad6695604fca996af8b61545b450581f 7
25 exp1mod.exe 16f83403eb45474dcb00395fc671bcdd 6
26 7b50d997.exe fea385d6b88e6cf0e5a3fa4a939bba43 3
27 cc08.tmp.exe 2cd0b38ee73521578c487b744606c63c 3
28 dfx+ychs.part cf00c5806fd9be5886fe65735244bf1e 0
更多文件

註冊表詳情

Crysis病毒創建以下註冊表條目:
Regexp file mask
%APPDATA%\[RANDOM CHARACTERS]_201[NUMBERS]-[NUMBERS]-[NUMBERS]_[NUMBERS]-[NUMBERS].exe
%APPDATA%\exe.exe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\[RANDOM CHARACTERS]_201[NUMBERS]-[NUMBERS]-[NUMBERS]_[NUMBERS]-[NUMBERS].exe
%appdata%\microsoft\windows\start menu\programs\startup\[RANDOM CHARACTERS]payload.exe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\Skanda[RANDOM CHARACTERS].exe
%APPDATA%\microsoft\windows\start menu\programs\startup\winhost.exe
%APPDATA%\osk.exe
%APPDATA%\setap[RANDOM CHARACTERS].exe
%APPDATA%\Skanda[RANDOM CHARACTERS].exe
%userprofile%\documents\system.exe
%windir%\system32\payload.exe
%WINDIR%\System32\Skanda.exe
%windir%\syswow64\payload.exe

網站免責聲明

Enigmasoftware.com與本文提到的惡意軟件創建者或發行者沒有關聯、贊助或擁有。不要以任何方式將本文與推廣或認可惡意軟件相關聯,將其誤解或混淆。我們的目的是提供信息,以指導計算機用戶如何借助SpyHunter和/或本文提供的手動刪除說明來檢測並最終從計算機中刪除惡意軟件。

本文按“原樣”提供,僅用於教育信息。按照本文的任何說明進行操作,即表示您同意受免責聲明的約束。我們不保證本文將幫助您完全消除計算機上的惡意軟件威脅。間諜軟件定期更改,因此,很難通過手動方式完全清潔受感染的計算機。