勒索病毒 Crysis會注入木馬程式到重新導向或連接的設備,如印表機和路由器,以便讓攻擊者能夠重新進入和感染系統,即便已經將惡意軟體從中毒電腦中移除。這也說明了為什麼不建議支付贖金,因為看來只能解決一時的問題。
Crysis勒索病毒可以結合RSA和AES的加密演算法來加密185種類型的檔案,使用 vssadmin來刪除備份,並且修改註冊表來使得在每次啟動時都會自動執行。
今年二月出現的勒索病毒 Ransomware (勒索軟體/綁架病毒) RANSOM_CRYSIS.A,現在會透過暴力破解遠端桌面協定(RDP)散播,目前澳洲和紐西蘭的企業傳出疫情。
在今年六月初曾經報導過Crysis想接手TeslaCrypt所留下的市場(因為TeslaCrypt作者決定結束業務),並且追上勒索病毒界中流行的Locky。Crysis主要透過垃圾郵件散播,可能是帶有雙重副檔名的木馬化病毒附加檔案(將惡意軟體偽裝成非執行檔的一種手法),或是連到受感染網站,網路服務也可能會散播合法軟體的可疑安裝檔。現在它也會將暴力破解攻擊遠端桌面協定作為其感染途徑之一。
Windows遠端存取工具所具備的資源重新導向功能讓使用者可以方便的存取、處理和使用本地磁碟的檔案、印表機、剪貼簿和可移除設備等資源。使用暴力破解攻擊遠端桌面協定的Crysis,利用來源電腦的重新導向磁碟,執行勒索病毒。
圖1、透過RDP暴力破解攻擊的Crysis感染流程示意
RDP是內建在Windows作業系統的功能,可以讓使用者透過網路來連接另外一台電腦。RDP常會被針對性攻擊/鎖定目標攻擊(Targeted attack )利用來取回資料,竊來的資料可以放到網路地下市場販賣,還可以將劫持的系統整合到「Botnet傀儡殭屍網路」內來發動進一步的惡意攻擊。 繼續閱讀