Lunavara ehk firmadele ja kasutajatele kuuluvate andmete kompromiteerimise ja krüpteerimise ning seejärel nakatunud failide taastamise eest lunaraha nõudva pahavara kasumlik äri on kiiresti kasvanud pärast selle esmakordset välja ilmumist.

Üheks sellistest ohtudest, mis on avaldanud suurt mõju ja nakatanud arvestaval hulgal kasutajaid kogu maailmas, on pahavaraperekond, mille ESETi lahendused tuvastavad nimega Win32/Filecoder.Crysis. ESETil on siiski õnnestunud töötada välja tasuta tööriist failide dekrüpteerimiseks ja sellise info taastamiseks, mis võib olla kompromiteeritud.

Mis on Crysis?

Crysis on failikodeerija tüüpi pahatahtlik kood, mille eesmärgiks on, nagu juba nimestki näha, krüpteerida info ja nõuda siis lunaraha vastutasuks info tagastamise eest. Crysis kasutab RSA ja AES krüpteerimist pikkade krüptovõtmetega, mis muudab töödeldud failide taastamise peaaegu võimatuks.

Selle pahavarapere populaarsus hakkas kasvama pärast TeslaCrypti, üht teist lunavara, mis levis samuti laialdaselt, kuni oli aktiivne (see lõpetas tegutsemise selle aasta alguses pärast tema tegevust nurjava tööriista turuletoomist).

Kümme Crysise poolt enim mõjutatud riiki

Crysis levib mitme vektori kaudu alates meilidest kuni reklaamideni sotsiaalvõrgustikes.

Crysise tuvastuste arv hakkas kogu maailmas mai lõpus kiiresti kasvama. Tänaseks on ESETi lahendused tuvastanud selle pahavarapere variante 123 riigis, kusjuures peaaegu 60% neist on koondunud ainult kümnesse riiki:

Top 10 countries_Crysis

Mõned Crysisele iseloomulikud jooned

See lunavara on lihtsalt täitmisfail, mis on tihendajaga kaitsmata – selle saab failipäisest lihtsalt kindlaks teha:

2_cabecera_Crysis

Me saame staatilise analüüsiga tuvastada mõned selle peamised karakteristikud. See lunaraha püüab ühe oma esimese toiminguga luua iseendast koopiad järgmistesse kataloogidesse, et kindlustada enda säilimine süsteemis:

  • C:UsersVictimAppDataRoamingMicrosoftWindowsStart MenuProgramsStartup
  • C:WindowsSystem32

Opsüsteem kasutab neist kataloogidest esimest kõikide selles kataloogis sisalduvate rakenduste täitmiseks, kui kord kasutaja on sisse loginud. On selge, et nii toimides hoolitseb oht selle eest, et krüpteerib just hiljuti loodud failid.

3_persistencia_crysis

Teises kataloogis peidab lunavara end Windowsile hädavajalikku omakataloogi, et kasutaja ei märkaks selle kohalolekut.

4_carpeta_donde_se_oculta_crysis

Üks Crysisele iseäralik omadus on, et see kustutab varukoopiad, mille on loonud Windows XP siserakendus “Volume Shadow Copy Service” (VSS ehk köite varikoopia teenus).

VSS loob lühidalt öeldes failidest varikoopiad iga kord, kui tarkvara installeerimise või värskendamise tagajärjel leidub süsteemis variatsioon. Kuvatõmmiselt on näha, et oht täidab rea spetsiifilisi käske varukoopia kustutamiseks, kui see on süsteemis olemas.

5_borrado_vss_crysis

Järgmiselt kuvatõmmiselt on näha selle pahatahtliku koodi täitmisvoog, mille esimesed juhised sisaldavad kutseid eespool nimetatud funktsioonidele. Me näeme ka, et teatud nihked sisaldavad stringe, mida kasutatakse krüpteeritud failide ümber nimetamiseks, ja lisaks ka faililaiendite loendit, mis näitab, milliseid faile oht krüpteerimiseks otsib.

6_strings_crysis

Seejärel luuakse failid juhistega toimingute kohta, mis on vaja teha failide taastamiseks ja mis erinevad lunavarast sõltuvalt – Crysis kasutab näiteks tekstifaile või kujutisi kasutaja juhendamiseks.

7_mensajes_rescate_crysis

Ühe viimase toiminguna pärast kasutaja info krüpteerimist saadab oht HTTP protokolli kasutades infot, nagu seadme nime ja identifitseerimisnumbri. Tasub mainida, et oht ühendub kompromiteeritud saitidega, tavaliselt serveritega, milles on mõni WordPressi haavatav versioon.

8_conexiones_http_crysis

Uus tööriist krüpteeritud failide taastamiseks

ESET on loonud tasuta dekrüpteerimisriista Crysise lunavara ohvritele, et aidata igaüht, kelle andmeid või seadmeid on see pahavara perekond mõjutanud. See tööriist on töötatud välja hiljuti avaldatud dekrüpteerimise põhivõtmeid kasutades.

Kui oled langenud Crysise lunavara ohvriks, siis leiad ja saad laadida meie tasuta utiliitide lehelt alla ESETi Crysise dekrüpteerimisriista. Leiad ESETi teadmusbaasist vajaduse korral lisainfot selle tööriista kasutamise kohta.

Allikas: WeLiveSecurity