安全研究人員已經檢測到CrySiS Ransomware的新變體，該迭代處理具有.gamma副檔名的受害者檔案。可能會對受感染的主機造成許多危險。它基於相同的模組化平臺，犯罪分子可以根據目標建立自定義副本。文章提供了病毒操作的概述，它也可能有助於嘗試刪除病毒。

CrySiS Ransomware - 分發策略

CrySiS勒索軟體正在使用各種策略進行分發。它背後的黑客似乎已經發起了針對所有型別的計算機使用者的全球網路活動 - 個人使用者，公司和企業客戶。一種常見的策略是直接針對包含網路釣魚策略的目標使用垃圾郵件電子郵件活動。它們被設計為顯示為由使用者可能使用的流行Internet服務或站點發送的訊息。電子郵件可以包含病毒檔案（或有效負載載體）作為直接附件，也可以在正文內容中連結。

類似的策略是構建下載站點 - 它們代表虛假的下載站點，登陸頁面和軟體Internet門戶。

這兩種方法用於分發受感染的有效載荷載體，其中有兩種流行型別：

• 文件 - 黑客可以將病毒安裝程式碼嵌入到有效載體中，例如流行的文件型別：富文字文件，電子表格，資料庫和簡報。
  當受害者開啟它們時，將出現一條訊息提示，要求使用者啟用內建巨集。如果允許此操作，則將開始安裝病毒。
• 軟體安裝人員 - CrySiS勒索軟體背後的罪犯可能將病毒整合到流行軟體的應用程式安裝程式中。犯罪分子通常會選擇終端使用者選擇的程式 - 創意套件，系統實用程式和生產力解決方案。

在某些情況下，CrySiS勒索軟體檔案和製作的有效載荷可以分佈在檔案共享網路上，例如BitTorrent。這些系統廣泛用於分發盜版內容或合法創意產品。地下跟蹤器主要傳播軟體和應用程式，這些軟體和應用程式通常是CrySiS勒索軟體。

高階感染方法可以包括通過瀏覽器劫持者設定攻擊活動。它們設定為與最流行的Web瀏覽器相容。

CrySiS Ransomware - 深入分析

CrySiS勒索軟體遵循先前迭代的設定行為模式。滲透開始於資訊收集模組，該模組設定為自動收集可分為兩大類的字串：

• 個人資料 - 黑客將獲取可用於揭露受害者身份的資訊。資料集可以包含以下任何字串：其名稱，地址，電話號碼，位置，興趣等。
• 廣告系列指標 - 其他CrySiS勒索軟體資料提取類別與可用於優化攻擊廣告系列的指標相關。大部分被劫持的資料由已安裝的硬體報告，使用者設定和作業系統值的報告組成。

這個特殊的勒索軟體家族也可以被認定為佛法。

可以利用被劫持資料的下一個模組是隱形保護資料。它用於保護CrySiS勒索軟體免受可能干擾病毒操作的安全軟體的影響。該列表包括防病毒引擎，虛擬機器主機和除錯環境。根據確切的配置，可以刪除應用程式本身。

在這個階段，CrySiS勒索軟體將完全控制主機系統 - 模組化引擎將能夠連線到系統程序，建立自己的系統程序併為它們設定管理許可權。

許多流行的病毒版本選擇繼續Windows登錄檔修改 - 既改變已存在的版本又建立屬於病毒程式碼的新條目。請注意，如果修改了與作業系統相關的任何字串，則可能會導致整體效能問題，而對單個應用程式的更改可能會導致某些功能不可用。自定義條目的建立與另一種技術相關 - 永續性威脅安裝。一旦計算機開機，此類惡意軟體感染將自動啟動，並可能另外阻止對啟動恢復選單的訪問。

進一步的惡意活動包括刪除敏感資料，如系統還原點和影子卷副本，這些在恢復計算機時非常重要。

另一個流行的病毒步驟是部署特洛伊木馬模組。與其他類似病毒一樣，該機制保持不變，客戶端將建立與黑客控制的地址的安全連線。這將使黑客能夠實時監視受害者，並接管他們的機器並部署其他威脅。一些流行的有效負載包括其他病毒或加密貨幣礦工。它們最近變得非常受歡迎，因為它們可以處理複雜的計算，當結果報告給伺服器時，數字貨幣將自動轉移到黑客的錢包。

由於這是CrySiS Ransomware系列的新版本，我們預計可以在每個目標活動中自定義其各種修改。由於可以通過黑客地下論壇獲取CrySiS主引擎程式碼，因此預計會有更新的版本。

CrySiS Ransomware - 加密過程

與之前的CrySiS勒索軟體相比，這種CrySiS勒索軟體的加密引擎操作沒有太大差異。敏感使用者資料使用強大的密碼進行加密，並由目標檔案型別副檔名列表管理。以下示例資料可能會受到影響：

• 檔案
• 備份
• 檔案
• 圖片
• 音樂
• 影片

與以前的版本一樣，勒索軟體會使用特定副檔名標記處理過的檔案 - “.id-％ID％.[[email protected]].gamma。

這意味著檔案將包含唯一的使用者ID，該使用者ID由通過資料竊取程式模組獲取的資訊組成。與以往一樣，.gamma擴充套件檔案也將在FILES ENCRYPTED.txt檔案中建立的特殊勒索軟體說明中提及。

要刪除CrySiS Ransomware，請執行以下步驟：

1.以安全模式啟動PC以隔離和刪除CrySiS Ransomware檔案和物件

對於Windows XP，Vista和7系統：

1.刪​​除所有CD和DVD，然後從“ 開始 ”選單重新啟動PC 。2.

- 對於具有單個作業系統的PC：在計算機重新啟動期間出現第一個引導屏幕後，反覆按“ F8 ”。如果Windows徽標出現在螢幕上，則必須再次重複相同的任務。

- 對於具有多個作業系統的PC：箭頭鍵可幫助您選擇您希望以安全模式啟動的作業系統。按照單個作業系統所述，按“ F8 ”。

3.出現“ 高階啟動選項 ”螢幕時，使用箭頭鍵選擇所需的安全模式選項。在進行選擇時，按“ Enter ”。

4.使用管理員帳戶登入計算機。當您的計算機處於安全模式時，螢幕的所有四個角都會出現“ 安全模式 ” 字樣。

5.修復PC上惡意軟體和PUP建立的登錄檔項。

某些惡意指令碼可能會修改計算機上的登錄檔項以更改不同的設定。這就是建議清理Windows登錄檔資料庫的原因。由於有關如何執行此操作的教程有點長，如果操作不當，篡改登錄檔可能會損壞您的計算機，

2.PC上查詢CrySiS Ransomware建立的檔案

在較舊的Windows作業系統中，傳統方法應該是有效的方法：

1.單擊“ 開始選單”圖示（通常在左下角），然後選擇“ 搜尋”首選項。

2.出現搜尋視窗後，從搜尋助手框中選擇更多高階選項。另一種方法是單擊“ 所有檔案和資料夾”。

3.之後，鍵入要查詢的檔案的名稱，然後單擊“搜尋”按鈕。這可能需要一些時間才能顯示結果。如果您找到了惡意檔案，可以通過右鍵單擊來複制或開啟其位置。現在，您應該能夠在Windows上發現任何檔案，只要它在您的硬碟驅動器上並且不通過特殊軟體隱藏。

3.使用高階防惡意防毒軟體工具掃描惡意軟體和刪除惡意程式並備份您的資料

4.嘗試恢復由CrySiS Ransomware加密的檔案

 勒索軟體感染和CrySiS Ransomware旨在使用加密演算法加密您的檔案，這可能很難解密。這就是為什麼我們建議了幾種可以幫助您繞過直接解密並嘗試恢復檔案的替代方法。請記住，這些方法可能不是100％有效，但也可能在不同情況下幫助您一點或多少。

方法1：使用資料恢復軟體掃描驅動器的扇區。

方法2：嘗試防毒軟體的解密器。

方法3：在密碼病毒通過網路通過嗅探工具傳送解密金鑰時查詢解密金鑰。

解密檔案的另一種方法是使用網路嗅探器獲取加密金鑰，同時在系統上加密檔案。網路嗅探器是監視通過網路傳輸的資料的程式和/或裝置，例如其網際網路流量和網際網路資料包。如果在攻擊發生之前設定了嗅探器，則可能會獲得有關解密金鑰的資訊。

關注服務號，交流更多解密檔案方案和恢復方案：