Со времени своего появления прибыльная деятельность с использованием программ-вымогателей – если коротко, несанкционированный доступ к данным, принадлежащим компаниям и пользователям, и их шифрование с требованием перечислить деньги в обмен на восстановление зараженных файлов – стремительно набрала обороты.

Одной из угроз, оказавших значительное влияние и заразивших большое количество пользователей по всему миру, стало семейство вирусов, обнаруженное решениями ESET как Win32/Filecoder.Crysis. К счастью, компания ESET разработала бесплатное средство дешифрования файлов и восстановления информации, к которой мог быть получен несанкционированный доступ.

Что такое Crysis?

Crysis – это вредоносный код типа Filecoder, целью которого, как видно из названия, является шифрование информации с требованием улаты выкупа в обмен на возврат указанной информации. Crysis использует стандарты шифрования RSA и AES с длинными ключами шифрования, в результате чего восстановление обработанных файлов становится практически невозможным.

Данное семейство вредоносных программ стало популярным после появления TeslaCrypt – другой программы-вымогателя, которая также широко распространилась в период своей активности (ее перестали использовать в начале этого года после запуска инструмента, направленного на ее возврат к исходному состоянию).

Топ-10 стран, наиболее пострадавших от Crysis

Crysis распространяется через множество векторов, начиная от электронных писем до рекламных объявлений в социальных сетях.

Многочисленные случаи обнаружения вируса в разных странах мира были зафиксированы в конце мая. До настоящего времени решениями ESET были выявлены модификации данного семейства вредоносных программ в 123 странах, почти 60% которых сосредоточено лишь в 10 странах:

Top 10 countries_Crysis

Некоторые характеристики Crysis

Данная программа-вымогатель – это просто исполняемый файл, не защищенный пакером, что можно легко проверить по заголовку файла:

2_cabecera_Crysis

Путем статического анализа мы можем определить некоторые основные характеристики. Одно из первых действий, которое совершает программа-вымогатель, — создание своих копий в указанных ниже каталогах, чтобы закрепиться в системе:

  • C:UsersVictimAppDataRoamingMicrosoftWindowsStart MenuProgramsStartup
  • C:WindowsSystem32

Первый каталог используется операционной системой для выполнения всех приложений в данном каталоге после входа пользователя в систему. Очевидно, что таким образом атакующая программа обеспечивает шифрование недавно созданных файлов.

3_persistencia_crysis

Во второй папке программа-вымогатель не позволяет пользователю заметить свое присутствие, скрывая себя в родной папке, существенной для Windows.

4_carpeta_donde_se_oculta_crysis

Одной из характерных особенностей программы Crysis является то, что она удаляет резервные копии, созданные Volume Shadow Copy Service встроенным приложением Windows XP.

Говоря вкратце, служба VSS создает теневые копии файлов каждый раз, когда происходит изменение в системе в результате установки или обновления программного обеспечения. Как видно на скриншоте, угроза выполняет набор определенных команд для удаления резервных копий, при наличии таковых.

5_borrado_vss_crysis

Ниже показан поток выполнения вредоносного кода, начальные команды которого предусматривают обращение к ранее упомянутым функциям. Также видно, что определенные смещения содержат последовательности, которые будут использоваться для переименования зашифрованных файлов и, помимо этого, список файловых расширений, показывающих файлы, которые угроза попытается зашифровать.

6_strings_crysis

Затем создаются файлы, содержащие этапы восстановления файлов, которые отличаются в зависимости от программы-вымогателя; при этом для направления действий пользователя Crysis использует текстовые файлы или изображения.

7_mensajes_rescate_crysis

Одно из последних действий, которые совершает угроза после шифрования пользовательской информации, — отправка сведений, например, имени устройства и идентификационного кода, с использованием протокола HTTP. Следует отметить, что сайты, с которыми угроза устанавливает соединение, — сайты с ослабленной защитой, как правило, серверы с уязвимой версией WordPress.

8_conexiones_http_crysis

Новый инструмент для восстановления зашифрованных файлов

Специалисты компании ESET разработали бесплатное средство дешифрования для жертв программы-вымогателя Crysis, чтобы помочь любому пользователю, данные или устройства которого подверглись атакам со стороны семейства Crysis. Данное средство разработано с использованием недавно опубликованных первичных ключей дешифрования.

Если вы стали жертвой программы-вымогателя Crysis, скачайте декриптор ESET Crysis, который можно найти на нашей странице бесплатных утилит. Более подробную информацию о правилах пользования данным инструментом можно найти в базе знаний ESET.

Источник: WeLiveSecurity