近日，安天 CERT（安全研究與應 急處理中心）在梳理網絡安全事件時發現 Crysis 勒索軟件變種開始活躍。該木馬家 族自 2017 年公布通用解密密鑰后沉寂了一 段時間，現在又卷土重來。Crysis 目標大 多針對各類服務器，攻擊方法多數采用遠 程 RDP 暴力破解，加密文件后綴名為 .java。 由于 RSA 密鑰已經不同于之前黑客公布的 Crysis 原樣本，因此現在暫時無法解密。

     Crysis 木馬樣本會復制自身到多個目 錄以實現駐留，如：%windir%\System32、 %appdata%、%sh(Startup)%、%sh(Common Startup)%。該樣本會結束硬編碼的進程， 包 括 1c8.exe、1cv77.exe、outlook.exe、postgres.exe、mysqld-nt.exe、mysqld.exe、 sqlserver.exe， 可 以 看 出， 該 勒 索 軟 件 的 主要目標為數據庫程序，結束與數據庫有 關的進程，防止占用數據庫文件會使加密 失敗。惡意代碼加密文件時，先判斷文件 的大小，當文件大小大于 0×180000 字節 （約 1.5MB）時，直接對文件內容進行加 密，并將文件重命名，當文件大小小于等 于 0×180000 字節（約 1.5MB）時，則創 建新文件并加密舊文件內容后寫入新文件， 之后刪除舊文件。對于文件大小大于和小 于 0×180000 字節的文件，在文件尾部寫 入特定信息，以供攻擊者解密文件時使用。

     安天 CERT 提醒廣大網絡使用者，關閉相應的 RDP 服務，關閉不必要的端口如： 445，3389 等。要提高網絡安全意識，在 日常工作中要及時進行系統更新和漏洞修 復，不要隨意下載非正版的應用軟件、非 官方游戲、注冊機等。收發郵件時要確認 收發來源是否可靠，更加不要隨意點擊或 者復制郵件中的網址，不要輕易下載來源 不明的附件，發現網絡異常要提高警惕并 及時采取應對措施，養成及時更新操作系 統和軟件應用的好習慣。同時也要做好文 件的備份，以防止勒索軟件加密重要文件 后無法恢復。

      目前，安天追影產品已經實現了對該類 惡意代碼的檢出。