Trojan/DOS.Crysis[Ransom]的首个样本在2023年12月被安天捕获。它属于特洛伊木马，是一类以严重侵害运行系统的可用性、完整性、保密性为目的，或运行后能达到同类效果的恶意代码。该特洛伊木马关联样本是DOS平台下的BIN文件，主要采用命令行对系统或数据等发起攻击。它的主要行为是加密或锁定用户设备中的文件，同时使其无法访问。它得名于其行为通过加密或锁定用户的文件，迫使用户支付赎金以恢复文件的访问权限。该特洛伊木马变种数与样本数持平，变种并未出现大规模样本的爆发，流行度较低。目前Trojan/DOS.Crysis[Ransom]存在可执行文件至少一种格式的样本。除安天外，基于样本的命名对比分析，当前至少4个安全厂商对其进行命名，安全厂商对其行为分析较为清晰，检测的方式基本一致，对该特洛伊木马形成相同命名。
病毒行为
Trojan/DOS.Crysis[Ransom]具有自我复制功能，可以在系统中多处生成恶意文件，扩大感染范围。
该病毒会修改系统注册表，以确保每次系统启动时都会运行恶意代码。
Trojan/DOS.Crysis[Ransom]会监控用户的网络通信，窃取敏感信息并传输给远程控制服务器。
该病毒具有抗杀软能力，可以实时检测杀毒软件并尝试关闭其进程，绕过安全防护机制。
Trojan/DOS.Crysis[Ransom]会加密用户重要文件，并在屏幕上显示勒索信息，要求用户支付赎金才能解密文件。
该病毒可能会利用系统漏洞进行传播扩散，感染更多计算机系统。
样本格式分布
格式类别 占比 格式描述
BinExecute 100.0% 用于执行二进制文件的工具或实用程序
其他厂商命名
厂商 命名
Fortinet W32/Crysis.F!tr.ransom
Microsoft Ransom:Win32/Crysis.PA!MTB
Kaspersky Trojan-Ransom.Win32.Crysis.b
ESET-NOD32 Win32/Filecoder.Crysis.P
典型变种
Trojan/DOS.Crysis.gen[Ransom]
典型样本
类型 值
MD5 73493157bba3861c82c7a390bbe5f67c
解决方案
及时更新杀毒软件，确保杀毒软件能够识别新出现的Trojan/DOS.Crysis[Ransom]变种。
定期备份重要文件，并将备份文件存储在离线设备中，以免被勒索病毒加密。
避免点击来自未知来源的邮件附件或链接，以减少感染风险。
使用防火墙和安全加固软件，加强系统安全防护能力。
如果系统已被感染，不要轻易支付勒索费用，应寻求专业技术人员的帮助分析病毒并尝试解密文件。
最好在系统清理后进行全面重装，以确保Trojan/DOS.Crysis[Ransom]病毒被完全清除。