已從中毒電腦移除,還能再度感染系統 ! Crysis 透過暴力破解遠端桌面協定（RDP）散播

勒索病毒 Crysis會注入木馬程式到重新導向或連接的設備，如印表機和路由器,以便讓攻擊者能夠重新進入和感染系統，即便已經將惡意軟體從中毒電腦中移除。這也說明了為什麼不建議支付贖金，因為看來只能解決一時的問題。

Crysis勒索病毒可以結合RSA和AES的加密演算法來加密185種類型的檔案，使用 vssadmin來刪除備份，並且修改註冊表來使得在每次啟動時都會自動執行。

今年二月出現的勒索病毒 Ransomware (勒索軟體/綁架病毒) RANSOM_CRYSIS.A，現在會透過暴力破解遠端桌面協定（RDP）散播,目前澳洲和紐西蘭的企業傳出疫情。

在今年六月初曾經報導過Crysis想接手TeslaCrypt所留下的市場（因為TeslaCrypt作者決定結束業務），並且追上勒索病毒界中流行的Locky。Crysis主要透過垃圾郵件散播，可能是帶有雙重副檔名的木馬化病毒附加檔案（將惡意軟體偽裝成非執行檔的一種手法），或是連到受感染網站，網路服務也可能會散播合法軟體的可疑安裝檔。現在它也會將暴力破解攻擊遠端桌面協定作為其感染途徑之一。

Windows遠端存取工具所具備的資源重新導向功能讓使用者可以方便的存取、處理和使用本地磁碟的檔案、印表機、剪貼簿和可移除設備等資源。使用暴力破解攻擊遠端桌面協定的Crysis,利用來源電腦的重新導向磁碟,執行勒索病毒。

圖1、透過RDP暴力破解攻擊的Crysis感染流程示意

RDP是內建在Windows作業系統的功能，可以讓使用者透過網路來連接另外一台電腦。RDP常會被針對性攻擊/鎖定目標攻擊(Targeted attack )利用來取回資料，竊來的資料可以放到網路地下市場販賣，還可以將劫持的系統整合到「Botnet傀儡殭屍網路」內來發動進一步的惡意攻擊。

對於使用打帶跑策略來從受害者身上快速賺錢的勒索病毒營運商來說，利用RDP（特別是企業使用）是可以賺錢的。對Crysis來說就是如此，因為這讓它可以掃描和加密可移除磁碟和網路磁碟上的檔案。比方說，一名犯罪老手可以利用各種提權技術來取得系統管理者權限，並且連到伺服器來造成更大的傷害和加密更多的資料。

圖2.Crysis的勒索信樣本，這個勒索病毒可以結合RSA和AES的加密演算法來加密185種類型的檔案，使用 vssadmin來刪除備份，並且修改註冊表來使得在每次啟動時都會自動執行。

勒索病毒和RDP攻擊之前就曾經共存過，大部分都跟企業攻擊有關。在2015年十月下旬，LowLevel04勒索病毒（趨勢科技偵測為Ransom_LEVELO.A）會暴力破解RDP憑證，接著下載並安裝惡意軟體。它能夠掃描掛載的網路和可移除磁碟，並且加密儲存在內的檔案。它也能夠刪除電腦的事件日誌以防止對中毒系統進行電腦鑑識。

LeChiffre（Ransom_LECTOOL.A）在今年一月底因為攻擊三家銀行和一家醫藥公司而上了頭條，即使是離線狀態也能夠利用本地端生成的金鑰來加密本地和網路上的檔案。它還會用惡意命令列介面程式來更換相黏鍵使用程式（即按SHIFT鍵五次），這個後門可以讓攻擊者透過命令列介面來存取中毒的電腦。

今年五月，Bucbi惡意病毒的一個變種（Ransom_BUCBI.A）據報會使用RDP暴力破解工具來侵入網路上的RDP伺服器。它會植入惡意程式來加密所有可以識別的可用網路資源。Apocalypse（Ransom_APOCALYPSE.A）、DMA Locker（Ransom_MADLOCKER.B）和Smrss32（Ransom_CRYPTOWIPE.A）的變種也被發現會透過遠端桌面進行安裝。

圖3、趨勢科技Deep Security可以設定入侵防禦規則來偵測並封鎖可能為暴力破解攻擊的RDP連接請求。

減輕風險

想完全清除Crysis病毒可能很棘手。趨勢科技在澳洲和紐西蘭所受到的攻擊中看見這個勒索病毒會注入木馬程式到重新導向或連接的設備，如印表機和路由器。Crysis的這個動作讓攻擊者能夠重新進入和感染系統，即便已經將惡意軟體從中毒電腦中移除。這也說明了為什麼不建議支付贖金，因為看來只能解決一時的問題。

建議遠端桌面的管理者在允許狀況下關閉RDP，或將RDP服務變更到非標準端口。更新和強化RDP憑證並及實施雙因子認證，帳號鎖定政策和使用者權限/限制規則也能夠限制暴力破解攻擊。確保連接的設備有安全地清理過也能夠減少受到進一步損害的風險，還有使用加密通道能夠防止攻擊者竊聽遠端連線。將RDP客戶端和伺服器軟體保持在最新狀態能夠防止RDP漏洞遭受攻擊。

定期 3-2-1 原則 – 至少三個備份，使用兩種不同媒體格式，一份儲存在異地。這是減少勒索病毒攻擊效果的有效方法。