Un nou instrument de decriptare pentru ransomware-ul Crysis


De când a apărut, afacerea profitabilă a atacurilor malware de tip ransomware a continuat să ia amploare – atacurile vizând pe scurt compromiterea și criptarea datelor aparținând companiilor și utilizatorilor cu intenția de a se solicita apoi plata unei răscumpărări pentru restaurarea fișierelor infectate.

Una dintre amenințările care au avut un impact semnificativ și care au infectat un număr considerabil de utilizatori din întreaga lume a fost familia malware detectată de către soluțiile ESET ca Win32/Filecoder.Crysis. Din fericire, ESET a dezvoltat un instrument gratuit pentru a decripta fișierele și pentru a recupera informațiile care ar putea fi compromise.

Ce este Crysis?

Crysis este un cod rău intenționat de tip Filecoder al cărui scop, după cum sugerează și numele, este de a cripta informații și de a solicita plata unei răscumpărări în schimbul returnării respectivelor informații. Crysis utilizează criptarea RSA și AES cu chei de criptare lungi, ceea ce face recuperarea fișierelor procesate aproape imposibilă.

Această familie de malware și-a câștigat popularitatea după TeslaCrypt, un alt ransomware, care, de asemenea, s-a răspândit la scară largă cât timp a fost activ (și-a încetat operațiunile la începutul acestui an, odată cu lansarea unui instrument de decriptare).

Top 10 țări afectate de Crysis

Crysis se răspândește prin intermediul unor vectori multipli de atac, variind de la e-mailuri la anunțuri cu legaturi web malware disimulate în rețelele sociale.

Creșterea numărului de detecții la nivel mondial a început la sfârșitul lunii mai. Până în prezent, soluțiile ESET au detectat variante ale acestei familii de malware în 123 de țări, cu toate că aproape 60% dintre acestea sunt prezente în doar 10 țări:

top-10-countries_crysis

Anumite caracteristici ale Crysis

Acest ransomware este pur și simplu un fișier executabil care nu este protejat de un program de compresie:

2_cabecera_crysis-1

Făcând o analiză statică, putem identifica unele dintre principalele caracteristici. Una dintre primele acțiuni încercate de ransomware este de a crea copii de sine stătătoare în următoarele directoare, cu scopul de a mări persistența din sistem:

  • C:\Users\Victim\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
  • C:\Windows\System32

Primul director este utilizat de sistemul de operare pentru a executa toate aplicațiile din acest director odată ce utilizatorul s-a conectat. Este clar că în acest fel amenințarea se asigură că va cripta toate fișierele, chiar și create recent.

3_persistencia_crysis-1

În al doilea folder, codul ransomware împiedică utilizatorul să-i observe prezența prin ascunderea sa într-un dosar nativ, esențial pentru Windows.

4_carpeta_donde_se_oculta_crysis-1

Un lucru ce caracterizeaza codul Crysis este că acesta șterge copiile de rezervă create de "Volume Shadow Copy Service", o aplicatie încorporată a Windows XP.

Pe scurt, serviciul VSS creează copii ale fișierelor de fiecare dată când o variație în sistem apare ca urmare a instalării sau actualizării unui software. Așa cum se observă în captura de ecran, amenințarea va executa o serie de comenzi specifice pentru a șterge copia de rezervă, în cazul în care aceasta există.

5_borrado_vss_crysis-1

Mai jos, putem vedea fluxul de execuție a codului rău intenționat, ale cărui instrucțiuni includ în primul rând apelările către funcțiile menționate anterior. Putem vedea, de asemenea, că anumite decalaje conțin șiruri de caractere, care vor fi folosite pentru a redenumi fișierele criptate și, în plus, o listă de extensii de fișiere care vor fi afișate în momentul în care veți căuta documentele criptata.

6_strings_crysis-1

Se remarcă de asemenea fișierele care conțin pașii de urmat pentru a recupera fișierele compromise, care vor varia în funcție de varianta de ransomware; Crysis folosește fișiere text sau imagini pentru a ghida utilizatorul.

7_mensajes_rescate_crysis-1

Una din ultimele acțiuni întreprinse de codul malițios după criptarea informațiilor utilizatorului este de a trimite informații, cum ar fi numele dispozitivului și un cod de identificare, folosind protocolul HTTP. Merită menționat faptul că site-urile folosite de amenințare pentru a se conecta sunt în general sunt servere cu versiuni vulnerabile de WordPress.

8_conexiones_http_crysis-1

Un nou instrument pentru a recupera fișierele criptate

ESET a creat un instrument de decriptare gratuit pentru victimele Crysis, cu scopul de a ajuta orice persoană ale cărei date sau dispozitive au fost afectate de familia Crysis. Instrumentul a fost dezvoltat cu ajutorul cheilor master de decriptare publicate recent.

Dacă ați fost o victimă a ransomware-ul Crysis, puteți găsi și descărca ESET Decryptor Crysis de pe pagina noastră de instrumente gratuite. În cazul în care aveți nevoie de informații suplimentare cu privire la modul de utilizare al instrumentului, vă rugăm să consultați ESET Knowledgebase.

 

DIEGO PEREZ
CORESPONDENT INDEPENDENT

Georgiana December 13, 2016

Lasa un comentariu