3月22日,星期五,07:XNUMX
调查 CrySIS / Dharma勒索软件的希腊公司受害者! 无休止的攻击?

CrySIS / Dharma勒索软件的希腊公司受害者! 无休止的攻击?

根据2019年希腊中小企业和巨头的几份报告 孤岛危机 ή 勒索自2016年以来一直向受害者撒种的恐怖分子已经感染了几家公司。

孤岛危机

尽管全球在线社区认为CrySIS勒索软件的统治已经结束, 几个 希腊公司 他们通过堕落为受害者而否认 恶意软件 并支付-其中大部分-大量资金来解密其文件。

实际上,根据 Malwarebytes Labs,从148年2019月到XNUMX年XNUMX月,全球CrySIS勒索软件攻击增加了XNUMX%。

在希腊商业界,勒索软件 似乎困扰了几家公司 认为自己无法接触或从未期望成为目标的人 黑客.

继SecNews研究之后, 黑客 攻击背后的目的纯粹是为了赚钱 要求为 赎金。 这意味着公司不是竞争对手的个人利益或阴谋的目标。

黑客 他们充当“专业人士”,并在收到赎金后立即将解密密钥发送到文件。

根据SecNews的研究,中国和/或俄罗斯人可能是袭击的幕后黑手。 黑客团队。 实际上,这些是有组织的团体,已经赚了数百万(!)美元[b。 500.000.000亿美元]的恶意行为。

CrySIS希腊公司

什么是CrySIS/佛法 勒索 以及它如何运作?

CrySIS /佛法的目标 Windows 系统, 主要针对企业。 它使用多种分发方法:

  • CrySIS分发为 恶意附件 垃圾邮件 电子邮件。 具体来说,恶意附件使用重复的文件扩展名,在默认的Windows设置中,它们实际上是不可执行的。
  • CrySIS也可能最终 伪装成合法软件的安装文件,AV厂商。 CrySIS背后的黑客为各种合法应用程序提供“相思树”安装程序,作为可下载的可执行文件,这些文件已通过各种站点和公共网络分发。
  • 大多数时候,CrySIS / Dharma 使用凭据手动交付给有针对性的攻击 RDP 泄漏或弱。 这意味着攻击者可以在强行实施暴力之前访问机器的受害者 攻击 在Windows RDP协议的端口3389上。

在最近的一次攻击中,CrySIS被作为下载链接发送到垃圾邮件。 链接重定向到受以下保护的安装程序: 密码。 密码是通过电子邮件提供给潜在受害者的,除了CrySIS / Dharma可执行文件外,安装程序还包含来自已知安全厂商的过时删除工具。

这个 社交、 工程 战略 用来使用户可疑。 如果在安装包中看到熟悉的安全解决方案,则认为可下载是安全的。

CrySIS勒索软件希腊公司

传染病

一旦CrySIS感染了系统, 创建 注册表项 并加密几乎所有类型的文件,绕过系统和恶意软件文件。 使用一个执行加密 强加密算法 (AES-256与非对称RSA-1024加密结合使用),适用于固定,可移动和网络驱动器。

加密之前,CrySIS 删除所有Windows还原点 执行vssadmin delete shadows / all / quiet命令。

木马 由于勒索软件而传播 收集计算机名称 και 某些格式的加密文件数,将它们发送到由他控制的远程C2服务器 黑客。 在某些Windows版本中,它还会尝试 以管理员权限行事,从而扩展了可以加密的文件列表。

在成功进行RDP攻击后,发现在执行勒索软件的有效负载之前, CrySIS将其卸载 安全软件 安装在系统上。

勒索软件希腊公司

赎金

当CrySIS完成加密后, 在桌面上留下受害者必须支付多少的便条 如果它想通过提供两个电子邮件地址来联系黑客来检索其文件。

所需的赎金通常约为1 比特币 ,但在某些情况下,价格似乎已根据受影响公司的收入进行了调整。 经济上良好的公司通常会支付更高的费用。

如何保护自己?

尽管您可以选择使用其他软件在工作计算机上进行远程操作,但RDP本质上是一种安全且易于使用的协议,它具有Windows系统上预安装的客户端以及可用于其他操作系统的客户端。 您可以采取一些步骤,使有人通过未经授权的连接访问您的网络更加困难 RDP:

  • 用它使暴力破解更难成功 强密码。
  • 不要关闭 网络级身份验证 (网络级身份验证- NLA) 因为它提供了更高级别的身份验证。 如果尚未打开,请打开它。
  • 更改RDP端口 因此寻找开放RDP端口的端口扫描程序将丢失您的端口。 默认情况下,服务器 听3389门 对于TCP和UDP。
  • Ή 使用远程网关服务器服务器,这还为您提供了一些额外的安全性和操作优势,例如2FA。 日志 RDP会话数 当您想控制各种动作时,此功能非常有用。 由于在被入侵的机器上找不到这些日志,因此黑客更难伪造。
  • 限制对特定IP地址的访问,如果可能的话。 不需要很多 IP地址 需要访问RDP。
  • 即使使用RDP,也有许多可能性可以提高Windows计算机上的用户权限,但是所有已知方法均已修补。 因此,一如既往,请确保您的系统是最新的 修补.
  • 使用有效且易于使用 备份策略。 像CrySIS一样,当勒索软件首次删除还原点时,对还原点的置信度不合格且完全没有用。
  • 培训员工 关于你 网络钓鱼攻击 并提高对网络安全的认识。
  • 结束,使用多层高级安全解决方案 保护您的机器免受勒索软件攻击。

国际石油公司

T众所周知Ransom.Crysis使用以下扩展名来加密文件:

.crysis,.dharma,钱包,.java,.adobe,.viper1,.write,.bip,.zzzzz,.viper2,.arrow,.gif,.xtbl,.onion,.bip,.cezar,.combo, .cesar,.cmb,.AUF,.arena,.brrr,.btc,.cobra,.gamma,.heets,.java,.monro,.USA,.bkp,.xwx,.btc,.best,.bgtx ,.boost,.heets,.waifu,.qwe,.gamma,.ETH,.bet,ta,.air,.vanss等。 888,.FUNNY,.amber,.gdb,.frend,.like,.KARLS,.xxxxx,.aqva,.lock,.korea,.plomb,.tron,.NWA,.AUDIT,.com,.cccmn, .azero,.Bear,.bk666,.fire,.stun,.myjob,.ms13,.war,.carcn,.risk,.btix,.bkpx,.he,.ets,.santa,.gate,.bizer ,.LOVE,.LDPR,.MERS,.bat,.qbix,.aa1和.wal

到目前为止,已经确定了以下赎金 名称:

  • TXT
  • 如何解密您的DATA.txt
  • 自述文件以恢复您的files.txt
  • 解密说明.txt
  • ENCRYPTED.txt文件
  • 文件加密!!。txt
  • ta

常见文件哈希:

  • 0aaad9fd6d9de6a189e89709e052f06b
  • bd3e58a09341d6f40bf9178940ef6603
  • 38dd369ddf045d1b9e1bfbb15a463d4c

勒索

如果您是这次攻击的受害者,则可以联系SecNews研究小组 通过点击 https://www.secnews.gr/ask-us/.

为了隐私起见,已成为CrySIS受害者的希腊公司的名称/佛法 勒索,未公开。

离开答案

请输入您发表评论!
请在此输入你的名字

实时新闻

Avaddon勒索软件:通过Excel 4.0宏进行的攻击

微软昨天宣布,Avaddon勒索软件本周通过一种古老的技术再次流行。 那个...

苹果:禁止未经许可更新中文应用程序

如果未经政府批准,苹果将禁止开发人员更新中国应用商店中的现有应用。

澳大利亚:成千上万的MyGov帐户在Dark Web上出售

在黑暗的网络上出售了超过3600个MyGov帐户的访问权限,这可能使成千上万的澳大利亚人遭受欺诈和身份盗用。
00:03:03

聚会时间:与您的朋友在线观看电视

派对时间:与您的朋友一起在互联网上看电视,参加与以往不同的派对,观看自己喜欢的节目...

CISA和FBI警告企业Tor的风险

网络安全和基础设施安全局(CISA)和联邦调查局(FBI)已向企业发出有关...的警告。

openSUSE:新的Leap 15.2硬盘已发布

最近,发布了openSUSE操作系统的下一个稳定版本。 根据操作系统的开发团队,...

最受欢迎的恶意软件类型是什么?

研究人员正在寻找最常见的恶意软件类型。 在调查恶意活动期间,网络空间的研究人员将重点放在...

REvil勒索软件:针对Light SA电力公司

REvil勒索软件(也称为Sodinokibi)的运营商侵犯了巴西电力公司Light SA ...

领英:我们的错误是由于iOS问题

LinkedIn的代表昨天告诉ZDNet,iOS应用程序中的错误是造成看似“干扰行为”的原因,该行为是……

Valak Info Stealer针对欧洲和美国的企业

北美和南美的许多企业,以及欧洲的许多企业,都是臭名昭著的Valak Info Stealer的受害者。