Crysis勒索病毒中毒经历及漏洞查堵[勒索邮箱openpgp@foxmail.com]

最新推荐文章于 2023-10-31 15:53:46 发布
最新推荐文章于 2023-10-31 15:53:46 发布
阅读量7.6k 收藏 6
点赞数 5
分类专栏: 网络安全 病毒 文章标签: 信息安全 经验分享 rdp 反病毒
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sun4802/article/details/106771424
版权

Crysis 勒索病毒中毒经历及漏洞查堵[勒索邮箱openpgp@foxmail.com]


写在前面:本文没有提供勒索病毒加密文件解密方式,仅介绍亲身经历的一次勒索病毒感染事件及初步漏洞封堵

发现中毒

出现空白快捷方式图标

公司同事某天晚上使用一台较少使用的电脑发现桌面存在几个应用快捷方式变白,点击无反应,其中包括某数字杀毒软件。。。。。。
某数字杀毒软件变白图标

本次中毒并未出现勒索页面,事后分析应该是病毒加密过程中计算机被重启,打断了加密过程,导致加密勒索过程并未完成,故没有出现勒索页面。

文件后缀改变

发现快捷方式变白后,查看程序安装目录,发现某程序安装目录下的文件变成下图情况
程序文件

确认中毒

由上图可看到所有文件后缀均被修改为xxx.pgp. 看到文件名中出现邮箱已经大致怀疑是中了勒索病毒。但是毕竟第一次遇见,而且没有发现勒索页面,故借助某国产搜索引擎对该邮箱“openpgp at foxmail.com”进行了搜索,然而并未搜索出与病毒有关的信息(可能是搜索关键词不对),仅查询到PGP加密是一种采用公开密钥加密与传统密钥加密相结合的加密技术,初步判定是中了勒索病毒。为防止内网传播,第一时间对该电脑进行断网处理。
随后在**上查询到较多与该病毒有关的信息,确认中毒。
谷歌搜索信息
参考链接: PGP File ☣ Virus — How to remove & decrypt [openpgp@foxmail.com].PGP?.

该病毒勒索页面如下图
在这里插入图片描述

处理病毒

断网

中毒后第一时间对电脑进行断网,防止感染内网的其他电脑。

排查病毒

中毒电脑中仅部分文件被加密(按照文件名排序进行加密),且被加密部分并无重要文件,软件可以重装。且该计算机仅一块256G固态,仅有C盘分区,直接重装系统即可清除病毒。但是为了排查清楚,避免留下隐患,决定定位病毒位置,查找来源。

定位病毒

公司大部分电脑并不安装杀毒软件,直接使用Windows Defender。使用该电脑的同事有使用软件管家的习惯,故安装了数字杀毒软件。该软件将WD的杀毒功能关闭了,然后自己第一时间被干趴了,emmmmm,小小缺德一下。

考虑再安装一个软件进行病毒查杀,最后为了方便下载安装,选择了国产里风评较好的一款软件,在其他电脑中下载安装包后通过U盘安装到中毒电脑上。后续会通过安全手段对该U盘进行格式化,防止感染。安装完成后,经过漫长查杀,在某用户目录下发现病毒。
在这里插入图片描述
该杀毒软件检测出勒索病毒为Crysis,成功定位后先对病毒文件进行提取。因为没有专业工具,也没有太多时间,所以没有对病毒进行进一步分析,且网上已有较多对该类型病毒的分析文章,可以参考。
在这里插入图片描述

查堵漏洞

确定时间

因为病毒并未完成全部的勒索程序,所以病毒不一定是当天触发的,首先需要确定病毒的触发时间。对被加密的文件进行检查后发现,所有的文件都是在6月9日晚上被改写的,初步确定时间后,需要结合该电脑的使用情况进行排查,看看是否是因为安装了带病毒后门的软件等情况下感染的。

发现漏洞

经过回忆和排查后,该时间使用电脑的同事回忆出相近时间段有远程桌面的访问请求。通过翻看群聊天记录,发现了下图聊天记录图片
在这里插入图片描述
有远程计算机尝试通过Admin用户登陆计算机,初步确定是被远程投毒了,因为该用户密码较弱。

但是Admin用户为早期创建的本地用户,不在远程访问允许用户名单中。并无法从外网进行远程登陆。
通过检查Win10远程桌面安全策略后发现,任何管理员用户都可以进行远程桌面连接。此处为对远程桌面安全策略理解不全导致的漏洞。
在这里插入图片描述
同时发现远程桌面高级设置中的需要计算机使用网络级别身份验证进行连接选项被关闭,加大了被爆破的风险。
在这里插入图片描述
经过查询得知,Crysis病毒的一个主要传播途径就是RDP爆破,到此,基本确定了病毒来源。
参考以下文章:【高危预警】Crysis勒索病毒利用RDP爆破攻击加剧!!!

处理漏洞

发现漏洞后,第一时间进行封堵。
外部访问漏洞
我们是一个小型软硬件开发团队,规模较小。所以网络部署并不复杂,且初期未考虑较多的安全防护。为了方便远程访问计算机及内网资源,使用了DDNS+端口转发的方式来实现对公司内网资源的外部访问。
简单说就是使用了带DDNS功能的路由器,将DDNS服务商(目前是花生壳)的域名动态解析到ISP服务商提供的动态公网IP。因为花生壳提供的域名较长,且不好记忆,所以将公司域名添加了一个CNAME解析到花生壳域名。再通过在路由器上配置内外端口转发,实现外部访问。
猜测黑客对域名或者IP进行了端口扫描,检测到远程端口,进行了弱口令尝试,随后被爆破投毒。

本次事件后,决定对远程需求较少的计算机**关闭远程桌面端口**,同时减少对外无用端口的开放。后期考虑**部署防火墙**或者架设**VPN通道**。

RDP安全策略修改
首先本次就是弱密码导致的被爆破,所以第一时间排查所有电脑是否存在弱密码用户,修改密码。
其次,修改错误密码登录尝试次数。(此处微软应该背个小锅,该功能默认不开启),网上教程较多,就不赘述了,放一个参考链接。
限制RDP错误登陆次数

总结

经过本次事件之后,之前忽略的公司网络防火墙和网络安全需要重新审视一下,以为规模小就不会遇到问题,就太天真了,也辛亏此次没有造成太大损失。
勒索病毒相当恶心,万一重要文件被加密,一时半会甚至永远都无法解开,所以还是要多加防范。Crysis勒索病毒传播途径中包括RDP,需要及时封堵漏洞,避免使用弱口令,以防被爆破。
写完本文后就会对被感染电脑重装系统磁盘低格
本文为个人原创,基于个人理解所写,如有错误,还请指出。

Zacon365
关注
  • 5
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
最新勒索病毒分类完整合集,勒索病毒后缀邮箱集合(统计实时更新……)
weixin_33757911的博客
04-10 7185
截止2019年4月份,常见勒索病毒及相关信息收集:特征收集:{mattpear@protonmail.com}MTP{Benjamin_Jack2811@aol.com}BJ{Benjamin_Jack2811@aol.com}AOL{mrgrayhorse@protonmail.com}MGH{CALLMEGOAT@protonmail.com}CMG{MOLLYGREEN...
(总结)Windows服务器被感染勒索病毒.adobe,目前数据已恢复
herod_xiao的博客
01-07 4393
1、发现服务器中毒,文件后缀被修改为.adobe,如下图 2、黑客留下勒索信息,如下图(all your data has beed locked us you want to return? wirte email payransom@qq.com) 3、通过查询发现加密文件10W多个,确认服务器所中病毒为最新的crysis勒索病毒。 4、通过专业的安全数据恢复公司进行分析,该勒索病毒使...
记一次‘勒索病毒经历
weixin_43945453的博客
04-22 4092
当一粒云遭遇勒索病毒 疫情当下新冠病毒还没走远,躲过了疫情,熬过了隔离期 某天当你打开电脑屏幕亮起一个全屏大框,标准的上锁图标,粗黑的 "all your files have been encrypted" 脑子里第一反应什么鬼玩意?勒索病毒!顿时就卧槽了! 真实经历,4月19日,周末,惬意的我像往常一样又收到客户需要技术支持的信息,一骨碌爬到电脑旁运行“mstsc”连接我的工作电脑...
应急响应—挖矿病毒勒索病毒
最新发布
剁椒鱼头没剁椒的博客
10-31 1300
个人理解,大佬就别喷了,了解一下就可以了,真正遇到这些问题的时候,有时候也不一定能够解决,最终都有可能回归到重装系统上面。包括说什么装杀毒软件、打补丁、升级系统,这些都应该是再事件发生前做的工作,而不是发生后做的工作,如果这些工作在事件发生前就做好的话,大概率也不会被这些病毒感染。
中了勒索病毒之后怎么办-亲身经历(2021.8)
candice5566的博客
08-11 1万+
我是怎么中的病毒 起因是我在写课程报告的时候,有一个公式需要插,正好我的MathType过期了,我就想去找一个破解版,国内找了很久没找到,在知乎上看到一个方法说是可以去YouTube上找一个视频教程,下面的链接一般都靠谱。牛啊,我就赶紧去了YouTube,找了几个视频,第一个的版本比较老,只能在Win7和Win8 上用。我就找了一个观看量只有几百的视频,鬼使神差地点了进去…隐隐觉得哪里不对劲,但是凭着本人混迹多年Internet的经历,本人还是点开视频下面的链接。 点进去就是很正常的软件下载的样子,就是一
Openpgp勒索病毒[勒索邮箱openpgp@foxmail.com]千万不要支付赎金!!!
weixin_41200741的博客
09-03 1473
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Mar
勒索病毒应急响应自救手册.docx
06-10
1. WannaCry 勒索:WannaCry 是一种高危险性的勒索病毒,它可以感染 Windows 操作系统,通过 EternalBlue 漏洞来传播。WannaCry勒索病毒的特点是,它可以加密文件,并要求用户支付赎金来恢复数据。 2. GlobeImposter...
勒索病毒应急措施及防护方案.pptx [19页].pptx
05-15
3. Crysis 勒索病毒:从 2016 年开始具有勒索活动,加密文件完成后通常会添加“ID+ 邮箱+ 指定后缀”格式的扩展后缀。 4. Sodinokibi 勒索病毒:首次出现于 2019 年 4 月底,由于之后 GandCrab 勒索集团的成功案例也...
勒索病毒应急措施及防护方案.pdf
10-13
勒索病毒已经成为了网络安全领域的一大威胁,尤其在2019年上半年,这类病毒的攻击活动频繁,给企业和个人用户带来了巨大的经济损失。勒索病毒主要通过弱口令攻击、垃圾邮件传播以及利用系统漏洞进行扩散,其攻击手段...
勒索软件的终结者 360 文档卫士 1.0.0.1202.rar
05-05
勒索软件是一种特殊的木马病毒,它用加密的方式绑架用户贵重的文档和图片,让用户再也不能读取文件。这些网络犯罪份子散布病毒,并向文件被加密的受害者勒索数百甚至数千美金的赎金,以换取解密的密码或金钥。然而,...
【数据恢复】老牌devos勒索病毒之.[geerban@email.tg].Devos
weixin_13318844580的博客
04-18 6911
2022年3月,国内某企业反馈其内部几乎所有的服务器上的文件都被加密无法打开,这也导致了部分业务的瘫痪。据了解,加密文件的拓展名为“.[geerban@email.tg].Devos”。通过对被加密样本的分析以及检测,可判断此次攻击的病毒为Phobos勒索病毒家族旗下的devos病毒。该勒索病毒主要通过爆破远程桌面,拿到密码后进行手动运行加密程序。同时受害者机器上被发现大量工具,从工具看该勒索病毒传播在还在不断攻击内网其他机器以及想通过抓取密码的方式获取更多机器的密码。
gpg: 找不到有效的 OpenPGP 数据 解决方案
热门推荐
新思维软件
05-15 2万+
keyserver.ubuntu.com使用非标准的11371端口,而一般公司的防火墙都屏蔽掉了该端口,而允许标准的80端口。所以可以以如下方式强行使用80端口添加软件源:seagull@seagull-desktop:~$ sudo apt-key adv --recv-keys --keyserver hkp://keyserver.ubuntu.com:80 AAAD1D3563E5A736...
[工具]勒索病毒解密工具汇总
Richard_qi的博客
04-12 2127
记录一下,以免应急找不到 [工具]勒索病毒解密工具汇总 [777 Ransom] Trend Micro Ransomware解密器用来解密777勒索软件加密的文 https://success.trendmicro.com/solution/1114221 [AES_NI Ransom] Rakhni解密器用来解密AES_NI勒索软件加密的文 http://media.kaspersky.com/utilities/VirusUtilities/EN/rakhnidecryptor.zip [A
2019勒索病毒专杀工具合集,常见勒索病毒解密工具合集下载地址分享【持续更新】
tyu1853的博客
05-10 1万+
从互联网上收集了一些勒索病毒的专杀工具和解密工具分享给大家,希望对中了勒索病毒朋友有帮助。 专杀工具:勒索病毒专杀工具合集下载地址 专杀工具包含: 1)卡巴斯基反病毒实用工具(含勒索解密以及病毒查杀) 2)FBI敲诈专杀工具 3)勒索软件专杀工具 解密工具:勒索病毒解密工具合集下载地址 解密工具包括: 1)Allcry解密工具 2)Aurora勒索病毒专用解密工具 3)Bcry...
中了后缀adobe勒索病毒怎么办 恢复方法百分百解密成功[veracrypt@foxmail.com
weixin_33766805的博客
05-30 8960
深圳的一个公司中了后缀是adobe的勒索病毒,全部文件后缀变成了[veracrypt@foxmail.com].adobe公司内中了20几台电脑,中毒后,公司领导特别着急,通过深圳的朋友找到我们,经过我们共同的研究与合作,成功恢复所有被加密文件勒索病毒如何预防 :1、及时给电脑打补丁,修复漏洞。2、对重要的数据文件定期进行非本地备份。3、不要点击来源不明的邮件附件,不从不明网站下载软件。4、尽量关...
foxmail 发不出邮件,被电脑管家云查杀引擎检测出带有病毒:Win32.Trojan.Agent.hryf ...
zz_xyz的博客
08-19 3671
1,您可以到腾讯电脑管家官网下载一个电脑管家。 2,然后使用电脑管家——杀毒——指定位置查杀——选择到该软件目录,开始扫描,检测一下是否的确存在木马病毒,如果有的话就根据电脑管家提示进行处理即可。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值