CrySiS是一个知名的勒索病毒，在去年5月被安全厂商围攻后找到了破解的万能密钥，该病毒就销声匿迹了，可最近该病毒经过升级导致万能密钥失效，又满血满蓝出来祸害万千网民了——其加密后的文件的后缀名为.java，由于CrySiS采用AES+RSA的加密方式，目前无法解密，只能等黑客公布新的密钥。具体分析如下所示：
　　CrySiS成功激活后，会先创建一个互斥变量，这个东西就是用来防止病毒多次运行的，也就是病毒在一台电脑上只能激活一次。接着，拷贝自身到系统的%windir%＼System32、%appdata%、%sh（Startup）%、%sh（Common Startup）%目錄中，还会释放一个勒索信息的配置文件Info.hta，并为它设置一个自启动项，如此就可以在用户重启电脑或者开机时弹出一个勒索界面，之后枚举系统的Windows Driver Foundation、User mode Driver Framework、wudfsvc、Windows Update、wuauserv、Security Center、wscsvc、Windows Management、Instrumentation、Winmgmt、Diagnostic Service Host、WdiServiceHost、VMWare Tools、VMTools.Desktop、Window Manager Session Manager服务和postgres.exe、mysqld-nt.exe、mysqld.exe、sqlserver.exe等进程，如果发现这些服务和进程干扰了病毒的数据库文件就会发出终止指令。
　　然后，寻找电脑的高价值文件并对之进行加密（类似boot.ini、bootfont.bin、io.sys之类的文件就跳过），加密后的文件的后缀变成.java，加密的密钥大小块为184字节，前32字节存放RC4加密后的随机数密钥，该密钥用于之后加密文档。为了加强随机性，病毒通过RDTST函数读取时间计数器，最后通过RC4加密得到密钥。最后，病毒通过调用rundll32.exe或mshta.exe进程，执行勒索病毒的勒索信息文件Info.hta，弹出勒索界面。
　　需要注意的是，CrySiS勒索病毒的传播是通过RDP暴力破解的方式进行的，因此建议用户关闭系统的RDP服务。什么是RDP服务？它是远程桌面协议的英文缩写（Remote Desktop Protocol），Windows系统的标配功能，这个协议的主要用处是管理员可以远程操作管理用户的电脑，不过在大多数情况下普通人是用不到这个功能的。在实际生活中，开启RDP服务的电脑一般设置有账号和密码，CrySiS勒索病毒就通过暴力破解的方式猜出账号和密码，特别是那些常见的组合，很容易被破解，例如账号admin、密码admin等。
　　另外，CrySiS勒索病毒的变种还有本土化特征，也就是进行了多重免杀，以干扰杀毒软件的判断。不过，随着安全厂商对CrySiS勒索病毒的变种的重视，主流杀毒软件都能查杀此类病毒。
　　@董师傅：要防范勒索病毒，要注意以下几点：关闭共享目录文件；及时给电脑打补丁，修复系统漏洞；不要点击来源不明的邮件以及附件；保证杀毒软件的正常运行；对重要的数据文件定期进行非本地备份；尽量关闭不必要的文件共享权限以及关闭不必要的端口，例如445、135、139、3389等。