安全研究人员已经检测到CrySiS Ransomware的新变体,该迭代处理具有.gamma扩展名的受害者文件。可能会对受感染的主机造成许多危险。它基于相同的模块化平台,犯罪分子可以根据目标创建自定义副本。文章提供了病毒操作的概述,它也可能有助于尝试删除病毒。
| 名称 | Dharma/CrySiS Ransomware |
| 类型 | 勒索软件,Cryptovirus |
| 简短的介绍 | 勒索软件通过将.gamma扩展名放在您的计算机系统上来加密文件,并要求支付赎金以据称恢复它们。 |
| 症状 | 勒索软件将对您的文件进行加密,并留下带有付款说明的勒索信息。 |
| 分配方法 | 垃圾邮件,电子邮件附件 |
CrySiS Ransomware - 分发策略
CrySiS勒索软件正在使用各种策略进行分发。它背后的黑客似乎已经发起了针对所有类型的计算机用户的全球网络活动 - 个人用户,公司和企业客户。一种常见的策略是直接针对包含网络钓鱼策略的目标使用垃圾邮件电子邮件活动。它们被设计为显示为由用户可能使用的流行Internet服务或站点发送的消息。电子邮件可以包含病毒文件(或有效负载载体)作为直接附件,也可以在正文内容中链接。
类似的策略是构建下载站点 - 它们代表虚假的下载站点,登陆页面和软件Internet门户。
这两种方法用于分发受感染的有效载荷载体,其中有两种流行类型:
- 文档 - 黑客可以将病毒安装代码嵌入到有效载体中,例如流行的文档类型:富文本文档,电子表格,数据库和演示文稿。当受害者打开它们时,将出现一条消息提示,要求用户启用内置宏。如果允许此操作,则将开始安装病毒。
- 软件安装人员 - CrySiS勒索软件背后的罪犯可能将病毒整合到流行软件的应用程序安装程序中。犯罪分子通常会选择最终用户选择的程序 - 创意套件,系统实用程序和生产力解决方案。
在某些情况下,CrySiS勒索软件文件和制作的有效载荷可以分布在文件共享网络上,例如BitTorrent。这些系统广泛用于分发盗版内容或合法创意产品。地下跟踪器主要传播软件和应用程序,这些软件和应用程序通常是CrySiS勒索软件。
高级感染方法可以包括通过浏览器劫持者设置攻击活动。它们设置为与最流行的Web浏览器兼容。插件上传到相关的存储库。相关描述通常包括增强浏览器或添加新功能的承诺。安装它们时,典型的行为模式是修改默认设置,以便将用户重定向到黑客控制的页面。这是通过操纵默认主页,搜索引擎和新标签页来完成的。完成此步骤后,将发生勒索软件感染。
CrySiS Ransomware - 深入分析
CrySiS勒索软件遵循先前迭代的设置行为模式。渗透开始于信息收集模块,该模块设置为自动收集可分为两大类的字符串:
- 个人数据 - 黑客将获取可用于揭露受害者身份的信息。数据集可以包含以下任何字符串:其名称,地址,电话号码,位置,兴趣等。
- 广告系列指标 - 其他CrySiS勒索软件数据提取类别与可用于优化攻击广告系列的指标相关。大部分被劫持的数据由已安装的硬件报告,用户设置和操作系统值的报告组成。
这个特殊的勒索软件家族也可以被认定为佛法。
可以利用被劫持数据的下一个模块是隐形保护数据。它用于保护CrySiS勒索软件免受可能干扰病毒操作的安全软件的影响。该列表包括防病毒引擎,虚拟机主机和调试环境。根据确切的配置,可以删除应用程序本身。
在这个阶段,CrySiS勒索软件将完全控制主机系统 - 模块化引擎将能够连接到系统进程,创建自己的系统进程并为它们设置管理权限。
许多流行的病毒版本选择继续Windows注册表修改 - 既改变已存在的版本又创建属于病毒代码的新条目。请注意,如果修改了与操作系统相关的任何字符串,则可能会导致整体性能问题,而对单个应用程序的更改可能会导致某些功能不可用。自定义条目的创建与另一种技术相关 - 持久性威胁安装。一旦计算机开机,此类恶意软件感染将自动启动,并可能另外阻止对启动恢复菜单的访问。
进一步的恶意活动包括删除敏感数据,如系统还原点和影子卷副本,这些在恢复计算机时非常重要。
另一个流行的病毒步骤是部署特洛伊木马模块。与其他类似病毒一样,该机制保持不变,客户端将建立与黑客控制的地址的安全连接。这将使黑客能够实时监视受害者,并接管他们的机器并部署其他威胁。一些流行的有效负载包括其他病毒或加密货币矿工。它们最近变得非常受欢迎,因为它们可以处理复杂的计算,当结果报告给服务器时,数字货币将自动转移到黑客的钱包。
由于这是CrySiS Ransomware系列的新版本,我们预计可以在每个目标活动中自定义其各种修改。由于可以通过黑客地下论坛获取CrySiS主引擎代码,因此预计会有更新的版本。
CrySiS Ransomware - 加密过程
与之前的CrySiS勒索软件相比,这种CrySiS勒索软件的加密引擎操作没有太大差异。敏感用户数据使用强大的密码进行加密,并由目标文件类型扩展名列表管理。以下示例数据可能会受到影响:
- 档案
- 备份
- 文件
- 图片
- 音乐
- 影片
与以前的版本一样,勒索软件会使用特定扩展名标记处理过的文件 - “.id-%ID%.[bebenrowan@aol.com].gamma。
这意味着文件将包含唯一的用户ID,该用户ID由通过数据窃取程序模块获取的信息组成。与以往一样,.gamma扩展文件也将在FILES ENCRYPTED.txt文件中创建的特殊勒索软件说明中提及。
要删除CrySiS Ransomware,请执行以下步骤:
1.以安全模式启动PC以隔离和删除CrySiS Ransomware文件和对象
对于Windows XP,Vista和7系统:
1.删除所有CD和DVD,然后从“ 开始 ”菜单重新启动PC 。
2.
- 对于具有单个操作系统的PC:在计算机重新启动期间出现第一个引导屏幕后,反复按“ F8 ”。如果Windows徽标出现在屏幕上,则必须再次重复相同的任务。
- 对于具有多个操作系统的PC:箭头键可帮助您选择您希望以安全模式启动的操作系统。按照单个操作系统所述,按“ F8 ”。
3.出现“ 高级启动选项 ”屏幕时,使用箭头键选择所需的安全模式选项。在进行选择时,按“ Enter ”。
4.使用管理员帐户登录计算机。当您的计算机处于安全模式时,屏幕的所有四个角都会出现“ 安全模式 ” 字样。
5.修复PC上恶意软件和PUP创建的注册表项。
某些恶意脚本可能会修改计算机上的注册表项以更改不同的设置。这就是建议清理Windows注册表数据库的原因。由于有关如何执行此操作的教程有点长,如果操作不当,篡改注册表可能会损坏您的计算机,如果您在该领域缺乏经验,可以参照文章 修复由恶意病毒软件引起的Windows注册表错误
2.PC上查找CrySiS Ransomware创建的文件
在较旧的Windows操作系统中,传统方法应该是有效的方法:
1.单击“ 开始菜单”图标(通常在左下角),然后选择“ 搜索”首选项。
2.出现搜索窗口后,从搜索助手框中选择更多高级选项。另一种方法是单击“ 所有文件和文件夹”。
3.之后,键入要查找的文件的名称,然后单击“搜索”按钮。这可能需要一些时间才能显示结果。如果您找到了恶意文件,可以通过右键单击来复制或打开其位置。现在,您应该能够在Windows上发现任何文件,只要它在您的硬盘驱动器上并且不通过特殊软件隐藏。
3.使用高级防恶意杀毒软件工具扫描恶意软件和删除恶意程序并备份您的数据
4.尝试恢复由CrySiS Ransomware加密的文件
勒索软件感染和CrySiS Ransomware旨在使用加密算法加密您的文件,这可能很难解密。这就是为什么我们建议了几种可以帮助您绕过直接解密并尝试恢复文件的替代方法。请记住,这些方法可能不是100%有效,但也可能在不同情况下帮助您一点或多少。
方法1:使用数据恢复软件扫描驱动器的扇区。
方法2:尝试杀毒软件的解密器。
方法3:在密码病毒通过网络通过嗅探工具发送解密密钥时查找解密密钥。
解密文件的另一种方法是使用网络嗅探器获取加密密钥,同时在系统上加密文件。网络嗅探器是监视通过网络传输的数据的程序和/或设备,例如其互联网流量和互联网数据包。如果在攻击发生之前设置了嗅探器,则可能会获得有关解密密钥的信息。
关注服务号,交流更多解密文件方案和恢复方案: