勒索病毒知识库:Cypren勒索病毒
勒索信息
加密后缀:.ENCRYPTED。
解密工具:该勒索病毒暂无解密工具。
其他特征:运行后弹框。
详细分析
1.获取主机相应的文件目录,如下所示:
C:\Users\用户名\DesktopC:\Users\用户名\DownloadsC:\Users\用户名\Documents
2.设定磁盘的名称列表,如下所示:
磁盘名列表:
B、D、E、F、G、H、I、J、K、L、M、N、O、P、C
3.循环遍历磁盘,如下所示:
4.枚举目录下的文件,如下所示:
5.判断相应的目录或文件名包含如下字符串则跳过,如下所示:
相应的字符串为:ENCRYPTED、READ_THIS、.sys等。
6.判断文件名后缀是否为如下后缀则跳过,如下所示:
相应的后缀列表:vhd、vhdx、vdi。
7.然后遍历之前获取的目录列表:
C:\Users\用户名\DesktopC:\Users\用户名\DownloadsC:\Users\用户名\Documents
8.如果遍历的磁盘目录为C盘,则跳过C盘下的特定目录,如下所示:
跳过以下目录和文件,如下:
PerfLogsProgram FilesProgram Files (x86)ProgramDataUsersWindowsSystem Volume Information$Recycle.Bin. (当前目录).. (上一级目录)bootmgrBOOTNXTDocuments and Settingshiberfil.sysMSOCachepagefile.sysswapfile.sys
9.如果文件为以下后缀名,则加密文件,如下所示:
会加密的文件的后缀名列表,如下:
txt、jpg、png、xml、doc、docx、xls、xlsx、ppt、pptx、gif、bmp、sql、php、html、cs、cpp、docm、docb、rar、zip、xlm、xml、py、rb、mp3、mp4、xlsb、xla、xlam、xll、xlw、pdf、pps、pot、accdb、accde、accdt、accdr、cert、swf、mdb、rtf、gzip、tar、css。
10.创建线程,加密文件,如下所示:
11.加密后的文件后缀名为ENCRYPTED,如下所示:
加密文件过程,如下所示:
12.在内存中解密出相应的勒索信息,如下所示:
生成相应的勒索超文本信息READ_THIS_TO_DECRYPT.html,如下所示:
13.加密完成之后,弹出相应的勒索信息,如下所示:
病毒防御
再次提醒广大用户,勒索病毒以防为主,目前大部分勒索病毒加密后的文件都无法解密,注意日常防范措施:
1.及时给电脑打补丁,修复漏洞;
2.对重要的数据文件定期进行非本地备份;
3.不要点击来源不明的邮件附件,不从不明网站下载软件;
4.尽量关闭不必要的文件共享权限;
5.更改账户密码,设置强密码,避免使用统一的密码,因为统一的密码会导致一台被攻破,多台遭殃;
6.如果业务上无需使用RDP的,建议关闭RDP。