Здирники-шифрувальники являють собою прибутковий інструмент для організації бізнесу кіберзлочинців. Кількість представників таких сімейств шкідливих програм зростає досить швидко, причому їх жертвами стають як корпоративні користувачі (компанії), так і прості користувачі.

Один із шифрувальників під назвою Crysis заразив досить велику кількість користувачів по всьому світу, антивірусні продукти ESET виявляють його як Win32/Filecoder.Crysis. У разі цього шифрувальника жертвам пощастило більше, оскільки наші фахівці розробили безкоштовний інструмент для розшифровування зашифрованих файлів.

Crysis є типовим представником здирників-шифрувальників, що спеціалізуються на шифруванні файлів та запит викупу за їх розшифровку. Він використовує алгоритми RSA і AES з довгими ключами шифрування, що робить процес розшифрування файлів без оплати викупу майже неможливим. Crysis набув широкого поширення після спаду активності іншого відомого здирника під назвою TeslaCrypt. Свого часу TeslaCrypt був також дуже поширений, але на початку року його активність знизилася через появу інструменту для розшифровки файлів. в соціальних мережах. Зростання кількості виявлень цього здирника по всьому світу почалося наприкінці травня. На сьогоднішній день антивірусні продукти ESET виявили різні варіанти цього шкідливого ПЗ у 123 країнах, хоча майже 60% цих заражень припадає на 10 країн.

Сам виконуваний файл шкідливої ​​програми мало чим відрізняється від інших, причому зловмисники не використовують для нього пакувальник.

Однією з перших дій, що робиться шкідливою програмою, є створення копій свого файлу в наведених нижче директоріях. Таким чином здирник забезпечує собі запуск після перезавантаження. C:\Users\Victim\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
C:\Windows\System32

Перша директорія використовується Windows для виконання всіх програм з неї після того, як користувач успішно увійшов до системи. Таким чином, шкідлива програма забезпечує шифрування нещодавно створених файлів.

Розташуючись у другій директорії, файл шкідливої ​​програми маскує свою присутність від користувача за рахунок використання системної директорії Windows.

Crysis також видаляє резервні копії файлів, що створюються сервісом тіньового копіювання тома (Volume Shadow Copy Service, VSS). Коротко кажучи, служба VSS створює тіньові копії файлів щоразу, коли в системі відбуваються зміни в результаті інсталяції або оновлення програмного забезпечення.

Шифрувальник містить інструкції для користувача, які він буде використовувати при оплаті викупу та подальшому розшифруванні файлів. На відміну від інших здирників, Crysis використовує текстові файли або файли зображень для зберігання цих інструкцій.

Одна з останніх дій, яку робить Crysis після шифрування файлів користувача, полягає у відправленні на віддалений сервер такої інформації як назва зараженого пристрою та спеціального ідентифікаційного коду з використанням HTTP-протоколу. Цікаво відзначити, що сайти, з якими намагається контактувати Crysis, обслуговуються. серверами з вразливими версіями системи керування вмістом WordPress.

Фахівці ESET розробили вільно розповсюджуваний інструмент для розшифрування зашифрованих файлів Crysis. Він може бути використаний постраждалими від діяльності Crysis користувачами. Інструмент був розроблений із залученням майстер-ключів розшифровки, який був нещодавно опублікований. Для отримання більш детальної інформації про програму розшифровки відвідайте базу знань ESET.

Інші новини