Lunavara ehk firmadele ja kasutajatele kuuluvate andmete kompromiteerimise ja krüpteerimise ning seejärel nakatunud failide taastamise eest lunaraha nõudva pahavara kasumlik äri on kiiresti kasvanud pärast selle esmakordset välja ilmumist.
Üheks sellistest ohtudest, mis on avaldanud suurt mõju ja nakatanud arvestaval hulgal kasutajaid kogu maailmas, on pahavaraperekond, mille ESETi lahendused tuvastavad nimega Win32/Filecoder.Crysis. ESETil on siiski õnnestunud töötada välja tasuta tööriist failide dekrüpteerimiseks ja sellise info taastamiseks, mis võib olla kompromiteeritud.
Mis on Crysis?
Crysis on failikodeerija tüüpi pahatahtlik kood, mille eesmärgiks on, nagu juba nimestki näha, krüpteerida info ja nõuda siis lunaraha vastutasuks info tagastamise eest. Crysis kasutab RSA ja AES krüpteerimist pikkade krüptovõtmetega, mis muudab töödeldud failide taastamise peaaegu võimatuks.
Selle pahavarapere populaarsus hakkas kasvama pärast TeslaCrypti, üht teist lunavara, mis levis samuti laialdaselt, kuni oli aktiivne (see lõpetas tegutsemise selle aasta alguses pärast tema tegevust nurjava tööriista turuletoomist).
Kümme Crysise poolt enim mõjutatud riiki
Crysis levib mitme vektori kaudu alates meilidest kuni reklaamideni sotsiaalvõrgustikes.
Crysise tuvastuste arv hakkas kogu maailmas mai lõpus kiiresti kasvama. Tänaseks on ESETi lahendused tuvastanud selle pahavarapere variante 123 riigis, kusjuures peaaegu 60% neist on koondunud ainult kümnesse riiki:
Mõned Crysisele iseloomulikud jooned
See lunavara on lihtsalt täitmisfail, mis on tihendajaga kaitsmata – selle saab failipäisest lihtsalt kindlaks teha:
Me saame staatilise analüüsiga tuvastada mõned selle peamised karakteristikud. See lunaraha püüab ühe oma esimese toiminguga luua iseendast koopiad järgmistesse kataloogidesse, et kindlustada enda säilimine süsteemis:
- C:UsersVictimAppDataRoamingMicrosoftWindowsStart MenuProgramsStartup
- C:WindowsSystem32
Opsüsteem kasutab neist kataloogidest esimest kõikide selles kataloogis sisalduvate rakenduste täitmiseks, kui kord kasutaja on sisse loginud. On selge, et nii toimides hoolitseb oht selle eest, et krüpteerib just hiljuti loodud failid.
Teises kataloogis peidab lunavara end Windowsile hädavajalikku omakataloogi, et kasutaja ei märkaks selle kohalolekut.
Üks Crysisele iseäralik omadus on, et see kustutab varukoopiad, mille on loonud Windows XP siserakendus “Volume Shadow Copy Service” (VSS ehk köite varikoopia teenus).
VSS loob lühidalt öeldes failidest varikoopiad iga kord, kui tarkvara installeerimise või värskendamise tagajärjel leidub süsteemis variatsioon. Kuvatõmmiselt on näha, et oht täidab rea spetsiifilisi käske varukoopia kustutamiseks, kui see on süsteemis olemas.
Järgmiselt kuvatõmmiselt on näha selle pahatahtliku koodi täitmisvoog, mille esimesed juhised sisaldavad kutseid eespool nimetatud funktsioonidele. Me näeme ka, et teatud nihked sisaldavad stringe, mida kasutatakse krüpteeritud failide ümber nimetamiseks, ja lisaks ka faililaiendite loendit, mis näitab, milliseid faile oht krüpteerimiseks otsib.
Seejärel luuakse failid juhistega toimingute kohta, mis on vaja teha failide taastamiseks ja mis erinevad lunavarast sõltuvalt – Crysis kasutab näiteks tekstifaile või kujutisi kasutaja juhendamiseks.
Ühe viimase toiminguna pärast kasutaja info krüpteerimist saadab oht HTTP protokolli kasutades infot, nagu seadme nime ja identifitseerimisnumbri. Tasub mainida, et oht ühendub kompromiteeritud saitidega, tavaliselt serveritega, milles on mõni WordPressi haavatav versioon.
Uus tööriist krüpteeritud failide taastamiseks
ESET on loonud tasuta dekrüpteerimisriista Crysise lunavara ohvritele, et aidata igaüht, kelle andmeid või seadmeid on see pahavara perekond mõjutanud. See tööriist on töötatud välja hiljuti avaldatud dekrüpteerimise põhivõtmeid kasutades.
Kui oled langenud Crysise lunavara ohvriks, siis leiad ja saad laadida meie tasuta utiliitide lehelt alla ESETi Crysise dekrüpteerimisriista. Leiad ESETi teadmusbaasist vajaduse korral lisainfot selle tööriista kasutamise kohta.
Allikas: WeLiveSecurity
