孤岛危机,又是一个家庭勒索制造器自2016年以来一直在发展。我们已经注意到,这一赎金软件最近变得越来越活跃,从2月至2019年4月至4月越来越长的148%。检测中的上升可能是由于孤岛危机的有效利用多次攻击向量。

图表检测次数

孤岛赎金瓶的配置文件

孤岛危机/佛法,Malwarebytes被必威平台APP检测到ransom.cersiss.,针对Windows系统,此系列主要针对企业。它使用了几种分配方法:

  • 孤岛危机分发为垃圾邮件的恶意附件。特定于这个家庭是使用使用的恶意附件双文件扩展名,在默认的Windows设置下可能看起来是不可执行的,当实际上它们是。
  • 孤岛危机也可以伪装成用于合法软件的安装文件,包括AV供应商。危机运算符将提供这些无害的安装人员,以便各种合法应用程序作为可下载的可下载可执行文件,它们已通过各种在线位置和共享网络分发。
  • 大多数时候,孤岛危机/达尔玛通过利用,手动在有针对性的攻击中发出泄露或弱的RDP凭据. 这意味着,在感染之前,通过在端口3389上强制使用Windows RDP协议,人类攻击者正在访问受害者计算机。

在最近的攻击中,在垃圾邮件电子邮件中作为下载链接交付孤岛危机。链接指向密码保护的自我提取捆绑包安装程序。密码给出了电子邮件中的潜在受害者,除了孤岛危机/达尔玛可执行文件外,安装人员包含一个由着名的安全供应商发出的过时的删除工具。

这一社会工程策略有效地打倒了用户的防御。在安装包中看到一个熟悉的安全解决方案,就诱使用户相信可下载的软件是安全的,攻击成功了。

感染

一旦CrySIS感染了一个系统,它就会创建注册表项来保持持久性,并加密几乎所有的文件类型,同时跳过系统和恶意软件文件。它使用适用于固定、可移动和网络驱动器的强加密算法(AES-256与RSA-1024非对称加密相结合)执行加密例程。

在加密例程之前,icroy通过运行删除所有Windows还原点vssadmin删除阴影/all/quiet命令.

丢弃赎金机的特洛伊木马通过某些格式收集计算机的名称和多个加密文件,将它们发送到远程指挥控制服务器由威胁演员控制。在某些Windows版本上,它还尝试使用管理员权限运行自己,从而扩展了可以加密的文件列表。

在成功的基于RDP的攻击之后,已经观察到,在执行赎金瓶有效载荷之前,缩写卸载系统上安装的安全软件。

赎金

当CrySIS完成加密程序后,它会在桌面上为受害者放置一张赎金便笺,提供两个受害者可以用来联系攻击者并支付赎金的电子邮件地址。某些变体在加密文件名中包含一个联系人电子邮件地址。

赎金需求通常约为1比特币,但似乎已经有案例似乎适应符合受影响公司的收入。必威唯一官方经济上的合理公司通常必须支付更大的赎金软件。

孤岛危机衡量

可以使用已通过可用的免费工具解密的一些较旧的孤岛危机变体名义赎金项目.

对策

虽然您可以选择部署其他软件来远程操作您的工作计算机,但RDP本质上是一种安全且易于使用的协议,它具有预装在Windows系统上的客户端以及可用于其他操作系统的客户端。您可以采取一些措施,使通过未经授权的RDP连接访问网络变得更加困难:

网络级身份验证
  • 更改RDP端口因此,寻找开放RDP端口的端口扫描程序将错过您的端口扫描程序。默认情况下,服务器在端口3389上侦听TCP和UDP。
  • 或者使用A.远程桌面网关服务器,这也为您提供了一些额外的安全和操作优势,如2FA.当您尝试弄清楚可能发生的事情时,RDP会话的日志可能会特别有用。由于这些日志不在受妥协的机器上,因此他们更难被入侵者伪造。
  • 限制对特定IP的访问, 如果可能的话。不需要大量需要RDP访问的IP。
  • 即使在使用RDP时,也有几种可能提升Windows计算机上的用户权限,但所有已知方法都已修补。因此,一如既往,请确保您的系统完全处于最新状态,并进行了修补,以防止使用特权提升和其他利用漏洞的行为。
  • 使用有效且易于部署的备份策略.依赖恢复点并不符合条件,并且当ransomware首次删除还原点时,完全没用,就像孤岛危机一样。
  • 培训你的员工关于电子邮件附件的危险和从非官方源下载文件的危险。
  • 最后,使用多层,高级安全解决方案保护您的机器免受勒索软件攻击。
水晶被隔离

IOCs

ransom.cemerys已被众知,请为加密文件附加这些扩展:

.crysis,.dharma,钱包,.java,.adobe,.viper1,.write,.bip,.zzzzzz,.viper2,.arrow,.gif,.xtbl,.onion,.bip,.cezar,.combo,.cesar,.cmb,.auf,.brrr,.brrr,.brrr,.cobra,.cambra,.heets,.java,.monro,.monro,.susa,.bkp,.xwx,.btc,.bgtx,.boost,.heets,.waifu,.qwe,.gamma,.eth,。oeth,。胃,ta,。航空公司,.vanss,。888,.funny,.mber,.gdb,.wrend,.like,.karls,.kxxxx,.xxxxx,.xva,.lock,.cl,.cl,.korea,.plomb,.tron,.nwa,.Audit,.com,.ccmn,.com,.ccmn,.azero,.bear,.bk666,.fire,.stun,.myjob,.ms13,.war,.carcn,.carcn,.stwark,.bkpx,.s,.s,.santa,.gate,.bizer,.love,.ldpr,.mers,.bat,.qbix,.aa1和.wal

已找到以下赎金票据名称:

  • 自述文件
  • 如何解密您的DATA.txt
  • README恢复您的FILES.TXT
  • 解密指令.txt
  • 文件加密.txt.txt.
  • 文件加密!!。TXT
  • info.hta.

通用文件哈希:

  • 0AAAD9FD6D9DE6A189E89709E052F06B.
  • bd3e58a09341d6f40bf9178940ef6603
  • 38dd369ddf045d1b9e1bfbb15a463d4c