病毒主要通過遠程桌面(RDP服務、3389端口)暴力破解用戶密碼,進入服務器釋放病毒程序,進而加密所有文件。
在加密計算機的同時,病毒也將刪除所有的卷影副本,致使無法使用它們來還原文件。病毒通過運行vssadmin delete shadows / all / quiet命令來刪除它們。
當中此病毒時,它將掃描計算機的全部文件類型並進行加密。 加密文件時,會以.id- [id]的格式附加擴展名.adobe.ETH.USA.btc.frendi.AUF.AYE.qwex等。 應該注意的是,這個病毒將加密映射的網絡驅動器和未映射的網絡共享夾。 所以要確保您的網絡共享夾權限設置,讓只有那些真正需要訪問的用戶纔有權限修改刪除。
.adobe.ETH.USA.btc.frendi.AUF.AYE.qwex Crysis變種將會在每個文件夾創建FILES ENCRYPTED.txt的介紹信息。
