勒索病毒冲着企业服务器来了 CSO们怕了么？

　　解密出来的bat文件内容如下

　　Bat会删除远程桌面连接信息文件default.rdp，并通过wevtutil.execl命令删除日志信息

　　四、Crysis样本分析

　　1.病毒通过自建IAT的方式，运行后首先解密需要使用的动态库，API字串，随后通过LoadLibraryA，GetProcAddress循环遍历来动态获取解析使用的API，获取函数地址后填充IAT表，随后病毒所有的API调用均使用：

　　MOVEAX,[IAT-FUN-ADDR]

　　jmp004066c0

　　004066c0：CallEAX

　　的方式来间接调用，这样做也导致了静态分析情况下导入表中无法看到病毒调用相关敏感Api。

　　2.运行后的病毒首先会关闭以下大量服务，来确保待加密文件不被占用，加密文件时不会产生异常。

　　3.同时结束下列进程，主要为数据库相关进程，其目的也是为了防止加密文件被占用，从关闭的进程列表也可看出，病毒主要攻击使用sqlserver，mysql数据库的服务器。

（编辑：云计算网_泰州站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!