GrayWare/DOS.Crypt的首个样本在2024年12月被安天捕获。它是一种灰色软件，灰色软件是一类在受侵害主机上运行、占据被侵害主机的资源、可能带来主机和用户信息泄露，但不足以构成重大风险的软件或插件。该灰色软件关联样本是DOS平台下的BIN文件，主要采用命令行对系统或数据等发起攻击。目前GrayWare/DOS.Crypt存在可执行文件至少一种格式的样本。除安天外，基于样本的命名对比分析，当前至少4个安全厂商对其进行命名，安全厂商对其行为分析较为清晰，检测的方式基本一致，对该灰色软件形成相同命名.
病毒行为
加密文件或目录，使其无法正常访问。
修改文件扩展名或隐藏文件，增加用户解密困难度。
在受感染设备上生成勒索信息，要求用户支付赎金获得解密密钥。
破坏系统文件或注册表，导致系统运行异常或崩溃。
禁用安全软件，包括杀毒软件和防火墙，以确保自身安全执行。
可能会向受感染设备传播其他恶意软件或蠕虫，扩大感染范围。
样本格式分布
格式类别 占比 格式描述
BinExecute 100.0% 用于执行二进制文件的工具或实用程序
其他厂商命名
厂商 命名
Fortinet W32/Crypt.NTAD!tr
Microsoft Trojan:Win32/Crypt.CJ!MTB
Kaspersky Trojan.Win32.Crypt.cym
ESET-NOD32 a variant of Win32/HackTool.Crypt.RX
典型变种
GrayWare/DOS.Crypt.a
典型样本
类型 值
MD5 5561a57b9c4cf8c3767b08a9d568d121
MD5 97e24d61f6661d059d84406a7ef9dd21
MD5 2fd55bf08ae0942a5cfb0de016e62575
解决方案
不要支付任何勒索赎金，因为这并不能确保您可以恢复文件。
使用可信赖的杀毒软件对受感染设备进行全面扫描，并清除病毒。
尝试使用备份文件恢复被加密的数据，定期进行数据备份是防范此类病毒的有效措施。
更新操作系统和应用程序至最新版本，及时修补漏洞，加强系统安全性。
避免点击可疑链接和下载未经验证的附件，提高网络安全意识。
如遇到无法解决的问题，建议寻求专业安全机构或技术人员的帮助。