Crysis勒索病毒中毒经历及漏洞查堵[勒索邮箱[email protected]]

写在前面：本文没有提供勒索病毒加密文件解密方式，仅介绍亲身经历的一次勒索病毒感染事件及初步漏洞封堵

发现中毒

出现空白快捷方式图标

公司同事某天晚上使用一台较少使用的电脑发现桌面存在几个应用快捷方式变白，点击无反应，其中包括某数字杀毒软件。。。。。。

本次中毒并未出现勒索页面，事后分析应该是病毒加密过程中计算机被重启，打断了加密过程，导致加密勒索过程并未完成，故没有出现勒索页面。

文件后缀改变

发现快捷方式变白后，查看程序安装目录，发现某程序安装目录下的文件变成下图情况

确认中毒

由上图可看到所有文件后缀均被修改为xxx.pgp. 看到文件名中出现邮箱已经大致怀疑是中了勒索病毒。但是毕竟第一次遇见，而且没有发现勒索页面，故借助某国产搜索引擎对该邮箱“openpgp at foxmail.com”进行了搜索，然而并未搜索出与病毒有关的信息（可能是搜索关键词不对），仅查询到PGP加密是一种采用公开密钥加密与传统密钥加密相结合的加密技术，初步判定是中了勒索病毒。为防止内网传播，第一时间对该电脑进行断网处理。
随后在**上查询到较多与该病毒有关的信息，确认中毒。

参考链接: PGP File ☣ Virus — How to remove & decrypt [[email protected]].PGP?.

该病毒勒索页面如下图

处理病毒

断网

中毒后第一时间对电脑进行断网，防止感染内网的其他电脑。

排查病毒

中毒电脑中仅部分文件被加密（按照文件名排序进行加密），且被加密部分并无重要文件，软件可以重装。且该计算机仅一块256G固态，仅有C盘分区，直接重装系统即可清除病毒。但是为了排查清楚，避免留下隐患，决定定位病毒位置，查找来源。

定位病毒

公司大部分电脑并不安装杀毒软件，直接使用Windows Defender。使用该电脑的同事有使用软件管家的习惯，故安装了数字杀毒软件。该软件将WD的杀毒功能关闭了，然后自己第一时间被干趴了，emmmmm，小小缺德一下。

考虑再安装一个软件进行病毒查杀，最后为了方便下载安装，选择了国产里风评较好的一款软件，在其他电脑中下载安装包后通过U盘安装到中毒电脑上。后续会通过安全手段对该U盘进行格式化，防止感染。安装完成后，经过漫长查杀，在某用户目录下发现病毒。

该杀毒软件检测出勒索病毒为Crysis，成功定位后先对病毒文件进行提取。因为没有专业工具，也没有太多时间，所以没有对病毒进行进一步分析，且网上已有较多对该类型病毒的分析文章，可以参考。

查堵漏洞

确定时间

因为病毒并未完成全部的勒索程序，所以病毒不一定是当天触发的，首先需要确定病毒的触发时间。对被加密的文件进行检查后发现，所有的文件都是在6月9日晚上被改写的，初步确定时间后，需要结合该电脑的使用情况进行排查，看看是否是因为安装了带病毒后门的软件等情况下感染的。

发现漏洞

经过回忆和排查后，该时间使用电脑的同事回忆出相近时间段有远程桌面的访问请求。通过翻看群聊天记录，发现了下图聊天记录图片

有远程计算机尝试通过Admin用户登陆计算机，初步确定是被远程投毒了，因为该用户密码较弱。

但是Admin用户为早期创建的本地用户，不在远程访问允许用户名单中。并无法从外网进行远程登陆。
通过检查Win10远程桌面安全策略后发现，任何管理员用户都可以进行远程桌面连接。此处为对远程桌面安全策略理解不全导致的漏洞。

同时发现远程桌面高级设置中的需要计算机使用网络级别身份验证进行连接选项被关闭，加大了被爆破的风险。

经过查询得知，Crysis病毒的一个主要传播途径就是RDP爆破，到此，基本确定了病毒来源。
参考以下文章：【高危预警】Crysis勒索病毒利用RDP爆破攻击加剧！！！

处理漏洞

发现漏洞后，第一时间进行封堵。
外部访问漏洞
我们是一个小型软硬件开发团队，规模较小。所以网络部署并不复杂，且初期未考虑较多的安全防护。为了方便远程访问计算机及内网资源，使用了DDNS+端口转发的方式来实现对公司内网资源的外部访问。
简单说就是使用了带DDNS功能的路由器，将DDNS服务商（目前是花生壳）的域名动态解析到ISP服务商提供的动态公网IP。因为花生壳提供的域名较长，且不好记忆，所以将公司域名添加了一个CNAME解析到花生壳域名。再通过在路由器上配置内外端口转发，实现外部访问。
猜测黑客对域名或者IP进行了端口扫描，检测到远程端口，进行了弱口令尝试，随后被爆破投毒。

本次事件后，决定对远程需求较少的计算机**关闭远程桌面端口**，同时减少对外无用端口的开放。后期考虑**部署防火墙**或者架设**VPN通道**。

RDP安全策略修改
首先本次就是弱密码导致的被爆破，所以第一时间排查所有电脑是否存在弱密码用户，修改密码。
其次，修改错误密码登录尝试次数。（此处微软应该背个小锅，该功能默认不开启），网上教程较多，就不赘述了，放一个参考链接。
限制RDP错误登陆次数

总结

经过本次事件之后，之前忽略的公司网络防火墙和网络安全需要重新审视一下，以为规模小就不会遇到问题，就太天真了，也辛亏此次没有造成太大损失。
勒索病毒相当恶心，万一重要文件被加密，一时半会甚至永远都无法解开，所以还是要多加防范。Crysis勒索病毒传播途径中包括RDP，需要及时封堵漏洞，避免使用弱口令，以防被爆破。
写完本文后就会对被感染电脑重装系统和磁盘低格
本文为个人原创，基于个人理解所写，如有错误，还请指出。