22月15日,星期四,57:XNUMX
调查 CrySIS / Dharma勒索软件的希腊公司受害者! 无休止的攻击?

CrySIS / Dharma勒索软件的希腊公司受害者! 无休止的攻击?

根据2019年希腊中小企业和巨头的几份报告 孤岛危机 ή 勒索自2016年以来一直向受害者撒种的恐怖分子已经感染了几家公司。

孤岛危机

尽管全球在线社区认为CrySIS勒索软件的统治已经结束, 几个 希腊公司 他们通过堕落为受害者而否认 恶意软件 并支付-其中大部分-大量资金来解密其文件。

实际上,根据 Malwarebytes Labs,从148年2019月到XNUMX年XNUMX月,全球CrySIS勒索软件攻击增加了XNUMX%。

在希腊商业界,勒索软件 似乎困扰了几家公司 认为自己无法接触或从未期望成为目标的人 黑客.

继SecNews研究之后, 黑客 攻击背后的目的纯粹是为了赚钱 要求为 赎金。 这意味着公司不是竞争对手的个人利益或阴谋的目标。

黑客 他们充当“专业人士”,并在收到赎金后立即将解密密钥发送到文件。

根据SecNews的研究,中国和/或俄罗斯人可能是袭击的幕后黑手。 黑客团队。 实际上,这些是有组织的团体,已经赚了数百万(!)美元[b。 500.000.000亿美元]的恶意行为。

CrySIS希腊公司

什么是CrySIS/佛法 勒索 以及它如何运作?

CrySIS /佛法的目标 Windows 系统, 主要针对企业。 它使用多种分发方法:

  • CrySIS分发为 恶意附件 垃圾邮件 电子邮件。 具体来说,恶意附件使用重复的文件扩展名,在默认的Windows设置中,它们实际上是不可执行的。
  • CrySIS也可能最终 伪装成合法软件的安装文件,AV厂商。 CrySIS背后的黑客为各种合法应用程序提供“相思树”安装程序,作为可下载的可执行文件,这些文件已通过各种站点和公共网络分发。
  • 大多数时候,CrySIS / Dharma 使用凭据手动交付给有针对性的攻击 RDP 泄漏或弱。 这意味着攻击者可以在强行实施暴力之前访问机器的受害者 攻击 在Windows RDP协议的端口3389上。

在最近的一次攻击中,CrySIS被作为下载链接发送到垃圾邮件。 链接重定向到受以下保护的安装程序: 密码。 密码是通过电子邮件提供给潜在受害者的,除了CrySIS / Dharma可执行文件外,安装程序还包含来自已知安全厂商的过时删除工具。

这个 社交、 工程 战略 用来使用户可疑。 如果在安装包中看到熟悉的安全解决方案,则认为可下载是安全的。

CrySIS勒索软件希腊公司

传染病

一旦CrySIS感染了系统, 创建 注册表项 并加密几乎所有类型的文件,绕过系统和恶意软件文件。 使用一个执行加密 强加密算法 (AES-256与非对称RSA-1024加密结合使用),适用于固定,可移动和网络驱动器。

加密之前,CrySIS 删除所有Windows还原点 执行vssadmin delete shadows / all / quiet命令。

木马 由于勒索软件而传播 收集计算机名称 και 某些格式的加密文件数,将它们发送到由他控制的远程C2服务器 黑客。 在某些Windows版本中,它还会尝试 以管理员权限行事,从而扩展了可以加密的文件列表。

在成功进行RDP攻击后,发现在执行勒索软件的有效负载之前, CrySIS将其卸载 安全软件 安装在系统上。

勒索软件希腊公司

赎金

当CrySIS完成加密后, 在桌面上留下受害者必须支付多少的便条 如果它想通过提供两个电子邮件地址来联系黑客来检索其文件。

所需的赎金通常约为1 比特币 ,但在某些情况下,价格似乎已根据受影响公司的收入进行了调整。 经济上良好的公司通常会支付更高的费用。

如何保护自己?

尽管您可以选择使用其他软件在工作计算机上进行远程操作,但RDP本质上是一种安全且易于使用的协议,它具有Windows系统上预安装的客户端以及可用于其他操作系统的客户端。 您可以采取一些步骤,使有人通过未经授权的连接访问您的网络更加困难 RDP:

  • 用它使暴力破解更难成功 强密码。
  • 不要关闭 网络级身份验证 (网络级身份验证- NLA) 因为它提供了更高级别的身份验证。 如果尚未打开,请打开它。
  • 更改RDP端口 因此寻找开放RDP端口的端口扫描程序将丢失您的端口。 默认情况下,服务器 听3389门 对于TCP和UDP。
  • Ή 使用远程网关服务器服务器,这还为您提供了一些额外的安全性和操作优势,例如2FA。 日志 RDP会话数 当您想控制各种动作时,此功能非常有用。 由于在被入侵的机器上找不到这些日志,因此黑客更难伪造。
  • 限制对特定IP地址的访问,如果可能的话。 不需要很多 IP地址 需要访问RDP。
  • 即使使用RDP,也有许多可能性可以提高Windows计算机上的用户权限,但是所有已知方法均已修补。 因此,一如既往,请确保您的系统是最新的 修补.
  • 使用有效且易于使用 备份策略。 像CrySIS一样,当勒索软件首次删除还原点时,对还原点的置信度不合格且完全没有用。
  • 培训员工 关于你 网络钓鱼攻击 并提高对网络安全的认识。
  • 结束,使用多层高级安全解决方案 保护您的机器免受勒索软件攻击。

国际石油公司

T众所周知Ransom.Crysis使用以下扩展名来加密文件:

.crysis,.dharma,钱包,.java,.adobe,.viper1,.write,.bip,.zzzzz,.viper2,.arrow,.gif,.xtbl,.onion,.bip,.cezar,.combo, .cesar,.cmb,.AUF,.arena,.brrr,.btc,.cobra,.gamma,.heets,.java,.monro,.USA,.bkp,.xwx,.btc,.best,.bgtx ,.boost,.heets,.waifu,.qwe,.gamma,.ETH,.bet,ta,.air,.vanss等。 888,.FUNNY,.amber,.gdb,.frend,.like,.KARLS,.xxxxx,.aqva,.lock,.korea,.plomb,.tron,.NWA,.AUDIT,.com,.cccmn, .azero,.Bear,.bk666,.fire,.stun,.myjob,.ms13,.war,.carcn,.risk,.btix,.bkpx,.he,.ets,.santa,.gate,.bizer ,.LOVE,.LDPR,.MERS,.bat,.qbix,.aa1和.wal

到目前为止,已经确定了以下赎金 名称:

  • TXT
  • 如何解密您的DATA.txt
  • 自述文件以恢复您的files.txt
  • 解密说明.txt
  • ENCRYPTED.txt文件
  • 文件加密!!。txt
  • ta

常见文件哈希:

  • 0aaad9fd6d9de6a189e89709e052f06b
  • bd3e58a09341d6f40bf9178940ef6603
  • 38dd369ddf045d1b9e1bfbb15a463d4c

勒索

如果您是这次攻击的受害者,则可以联系SecNews研究小组 通过点击 https://www.secnews.gr/ask-us/.

为了隐私起见,已成为CrySIS受害者的希腊公司的名称/佛法 勒索,未公开。

离开答案

请输入您发表评论!
请在此输入你的名字

实时新闻

贝宝让用户使用加密货币

贝宝周三宣布了一项新功能,该功能将允许用户购买,存储和出售加密货币。

激进分子正在开发面部识别技术,以揭示警察的身份

XNUMX月初,俄勒冈州波特兰市议会举行了虚拟会议,以审议有关...

特斯拉股价上涨近5%

特斯拉的埃隆·马斯克(Elon Musk)在周三发布了2020年第三季度的业绩。 该份额增长了近5%。

帐户接管攻击:如何避免它们?

帐户接管(ATO)攻击是盗窃的一种形式,通常由犯罪分子使用。 攻击者正试图闯入帐户...

正在对连接亨特·拜登的便携式计算机进行洗钱调查

FBI召集据称属于Hunter Biden的笔记本电脑和硬盘驱动器与调查有关...

LockBit勒索软件:悄无声息地快速攻击目标

一旦入侵,LockBit勒索软件只需五分钟即可部署系统加密例程。

蒙特利尔:公共交通系统遭到勒索软件攻击

蒙特利尔交通运输局(STM)的公共交通系统遭到RansomExx的勒索软件攻击,这影响了...

谷歌:针对拜登和特朗普的外国黑客转向恶意软件

根据Google的最新报告,曾试图影响拜登(Biden)和...

WordPress:发布流行插件中的危险错误的更新

WordPress安全团队上周做出了罕见的举动,并发布了一个流行插件的强制性安全更新。

联邦调查局:“伊朗通过电子邮件威胁民主党选民投票支持特朗普”

美国联邦调查局(FBI)宣布,伊朗对发送给亲民主党选民的电子邮件构成威胁,警告他们...