ransom.cersiss.

短生物

ransom.cersiss.is Malwarebytes’ detection name for a family of ransomware also known as CrySis or Dharma that targets Windows systems.

症状

当解密程序完成时，受感染系统的用户将在桌面上找到奖金。他们也可能会注意到，他们的所有恢复点都消失，并且它们的文件不再可访问，因为它们已被加密并提供了新的扩展名。

感染类型和来源

ransom.crysis是勒索软件，用于加密受感染系统上的文件。RansomWare通常是一种防止用户访问其系统或个人文件的恶意软件，并要求赎金付款以获得访问权限。
ransom.cersiss.uses several methods to infect a system, it can be done manually by use of weak or leaked RDP passwords, by malicious mail attachments, and sometimes it is offered for download as an installer for a game or other legitimate software.

后果

ransom.crysis通过运行删除恢复点vssadmin删除阴影/全部/安静命令。所以如果这些恢复点是你备份计划的一部分如果勒索软件一直在运行它们可能会丢失。

保护

必威平台APP恶意软件保护用户免受勒索。通过使用实时保护和反勒索软件技术。

必威平台APPMalwarebytes阻止赎金.Crysis.

业务补救

必威平台APPMalwarebytes可以在没有进一步的用户交互的情况下检测和删除商业机器上的ransom.cryery。
要删除使用MalwareBytes Business产品的r必威平台APPansom.cryery，请按照以下说明进行操作。

如何移除赎金。危机与Malwareby必威平台APPtes端点保护

1. 转到Malwareb必威平台APPytes Cloud Console。
2. 允许您在机器关闭网络时调用扫描，请转至设置>政策>你的政策>一般。
3. 在下面端点接口选项， 打开：
   1. 显示Mal必威平台APPwarebytes图标在通知区域
   2. 允许用户运行威胁扫描(将自动隔离所有威胁)

   如果您有没有在MalwareBytes Endpoint Protection中没有注册的端点的受感染的计算机，则可以使用我们的违规修必威平台APP复工具（MBBR）删除ransom.crysis。

   1. 登录你的我的帐户页面并复制许可证密钥。激活MBBR工具需要该密钥。
   2. 打开云控制台。
   3. 从干净和安全的机器，去端点>添加> Malwarebyte必威平台APPs违规修复。这将下载MBBR压缩包。
   4. 解压缩包。
   5. 访问Windows命令行提示并发出以下命令：
      MBBR寄存器-Key：
      MBBR更新
      笔记:您必须将您的许可密钥替换为< prokey >。
   6. 复制MBBR文件夹到闪存驱动器。
   7. 从受感染的离线机器，从闪存驱动器复制MBBR文件夹。
   8. 使用以下命令开始扫描：
      MBBR Scan -full -ard -Remove -Noreboot
   9. 指的是必威平台APP恶意软件入侵补救Windows管理员指南所有支持的扫描命令。

除去后，必须找到感染源以防止它再次使用。如果在我们的行为检测方法停止之前，ransomware已暂时运行，请检查是否存在创建的恢复点并使用我们的回滚技术恢复任何加密文件。

家庭修复

必威平台APPMalwarebytes可以检测和删除赎金。无需进一步的用户交互。

1. 请下载伪必威平台APP到你的桌面。
2. 双击mbsetup.exe.并按照提示安装程序。
3. 当你的必威平台APP伪的窗户安装完成后，该程序打开了欢迎来到Malwarebytes屏幕。必威平台APP
4. 点击开始按钮。
5. 点击扫描开始威胁扫描。
6. 点击检疫删除找到的威胁。
7. 如果出现提示完成删除过程，重新启动系统。

不过，请注意，删除这个勒索软件并不会解密你的文件。您只能在感染发生前或使用回滚技术时从备份中取回文件。

追踪/ IOC

延期

ransom.cersiss.has been known to append these extensions for encrypted files:
.crysis， .dharma, wallet， .java， .adobe， .viper1， .write， .bip， .zzzzz， .viper2， .arrow， .gif， .xtbl， .onion， .bip， .cezar， .combo， .cesar， .cmb， . auf， .arena， .brrr， .btc， .cobra， .gamma， .heets， .java， .monro， . usa， .bkp， .xwx， .btc， .best， .bgtx， .boost， .heets， .waifu， .qwe， .gamma， . eth， .bet, ta， .air， .vanss。888， .FUNNY， .amber， .gdb， . friend， .like， .KARLS， .xxxxx， .aqva， .lock， .korea， .plomb， .tron， .NWA， .AUDIT， .com， .cccmn， . zero， .Bear， .bk666， .fire， .stun， .myjob， .ms13， .war， .carcn， .risk， .btix， .bkpx， .他，.ets， .santa， .gate， .bizer， .LOVE， .LDPR， .MERS， .bat， .qbix， .aa1，和.wal

已找到以下赎金说明名称：
•固定
•如何解密您的Data.txt
•自述恢复文件。txt
•解密指示.txt.txt.txt.txt.
•文件加密.txt.txt.
•文件加密!!。TXT
•info.hta.

一些常见的文件哈希：
•0AAAD9FD6D9DE6A189E89709E052F06B.
•BD3E58A09341D6F40BF9178940EF6603
•38DD369DDF045D1B9E1BFBB15A463D4C