近日，深信服陆续发现政府、国企、医疗等多个行业用户的业务系统在短时间内出现被勒索加密现象，造成服务器大面积瘫痪，情况危急。受影响的系统包括世界500强企业核心系统、关系民生的政务云系统、医疗系统等。

       深信服安全专家团队通过深入追踪分析，发现该勒索病毒为CrySiS变种，CrySiS目前仍然是比较活跃的勒索家族之一。出现大面积业务瘫痪，主要原因在于采用了统一的RDP弱密码。

       病毒名称：CrySiS病毒变种

       病毒性质：勒索病毒

       影响范围：政府、国企、医疗等多个行业受攻击

       危害等级：高危

病毒分析

       黑客主要运用了Mimikatz、IP扫描等黑客工具，进行RDP爆破，利用统一密码特性，使用相同密码对全网业务进行集中攻击，导致重要数据被加密。

       勒索画面，黑客要求交比特币进行解密，比特币赎金多少取决于回复速度

       01、攻击场景

       首先，黑客通过钓鱼等方法获取内网某台主机的控制权，接着，尝试对服务器A进行RDP爆破，爆破成功，使用Mimikatz获取密码。

       服务器A被攻陷后，使用服务器A的密码来入侵其它服务器，主要步骤为：IP Scanner扫描、Mimikatz获取密码、RDP入侵并传播勒索。先对同网段的服务器进行扫描，确定可攻击的对象，接着使用Mimikatz获取密码，最后通过获取到的密码，使用RDP成功将CrySiS勒索病毒打入其它服务器。

       02、黑客工具

       为了配合实施攻击，服务器A被上传以下黑客工具。

       Advanced_IP_Scanner_2.5.3581.exe是IP扫描工具，Shaofao.exe是CrySiS勒索病毒体，x64对应的是Mimikatz64位版本，x86对应的是Mimikatz32位版本，下图是x86对应的文件夹。

       Advanced_IP_Scanner_2.5.3581.exe的功能比较强大，支持多种协议（包括RDP），可对单台，也可对整个网段进行扫描，甚至可实现完全控制。

模拟攻击场景截图

       03、CrySiS勒索病毒

       CrySiS勒索病毒在2017年5月万能密钥被公布之后，消失了一段时间，最近该类勒索病毒的新变种又开始活跃，攻击方法同样是通过远程RDP爆力破解的方式，植入到用户的服务器进行攻击，其加密后的文件的后缀名为.bip，由于CrySiS采用AES+RSA的加密方式，目前无法解密。

       捕获的CrySiS勒索病毒变种，其整体功能流程如下：

       首先，创建互斥量，防止多次运行：

       CrySiS对应的注册表及启动项：

       删除卷影，防止数据恢复：

       遍历局域网共享目录，并加密：

       04、统一的RDP弱密码有多危险？

       对于运维管理人员来说，特别是当服务器数量比较多的时候，为了管理方便，不少管理人员选择使用统一的帐号密码。另外，为了易于记录，防止忘记密码，管理人员有可能设置譬如123456等弱密码。很多时候，用户都误以为内网场景，就不会存在被攻击的可能性。

       统一的RDP弱密码的危险性。一旦所有服务器都设置统一的弱密码，则意味着每台都极易被攻破，而一旦某台被攻破，其它服务器也可使用相同密码进行入侵，进而出现在极短时间内，大规模瘫痪的现象。

       由此可见，不仅要设置强密码，并且最好每台服务器的密码都不相同。安全，本质是一个管理问题。

解决方案

       1、更改账户密码，设置强密码，避免使用统一的密码，因为统一的密码会导致一台被攻破，多台遭殃。

       2、如果业务上能不使用RDP的，则建议关闭RDP。当出现此类事件时，推荐使用深信服防火墙，或者终端检测响应平台（EDR）的微隔离功能对3389等端口进行封堵，防止扩散！

       3、深信服防火墙、终端检测响应平台（EDR）均有防爆破功能，防火墙开启此功能并启用11080051、11080027、11080016规则，EDR开启防爆破功能可进行防御。

       4、建议对全网进行一次安全检查和杀毒扫描，加强防护工作。推荐使用深信服安全感知+防火墙+EDR，对内网进行感知、查杀和防护。