Спеціалісти ESET випустили новий інструмент розшифровки файлів шифровальщика Crysis

З моменту своєї появи, вимагачі-шифрувальники представляють із себе прибутковий інструмент для організації бізнесу кіберзлочинців. Кількість представників таких родин шкідливих програм зросла досить швидко, причому їх жертвами ставали як корпоративні користувачі (компанії), так і прості користувачі.



Один з шифрувальників під назвою Crysis заразив досить велика кількість користувачів по всьому світу, антивірусні продукти ESET виявляють його як Win32/Filecoder.Crysis. У разі цього шифровальщика, жертвам пощастило більше, оскільки наші фахівці розробили безкоштовний инструмент для розшифровки зашифрованих файлів.

Crysis є типовим представником здирників-шифрувальників, що спеціалізуються на шифрування файлів і запиті викупу за їх розшифровку. Він використовує алгоритми RSA і AES з довгими ключами шифрування, що робить процес розшифровки файлів без сплати викупу майже неможливим.

Crysis придбав широке поширення після спаду активності іншого відомого здирника під назвою TeslaCrypt. У свій час TeslaCrypt був також дуже поширений, але на початку року його активність знизилася із-за появи інструменту для розшифровки файлів.

Зловмисники використовували різні способи для поширення Crysis, починаючи від шкідливих повідомлень електронної пошти, закінчуючи рекламою в соціальних мережах. Зростання кількості виявлень цього здирника по всьому світу розпочався наприкінці травня. На сьогоднішній день антивірусні продукти ESET виявили різні варіанти цього шкідливого ПО в 123 країнах, хоча майже 60% з цих заражень припадає на 10 країн.



Сам виконуваний файл шкідливої програми мало чим відрізняється від інших, причому зловмисники не використовують для нього пакувальник.



Виконавши статичний аналіз зразка шифровальщика, ми можемо виявити деякі його основні характеристики. Одним з перших дій, яке робиться шкідливою програмою, є створення копій файлу в зазначених нижче директоріях. Таким чином вимагач забезпечує собі запуск після перезавантаження.

C:\Users\Victim\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
C:\Windows\System32

Перша директорія використовується Windows для виконання всіх додатків з неї після того, як користувач, який успішно увійшов в систему. Таким чином шкідлива програма забезпечує шифрування нещодавно створених файлів.



Розташовуючись у другій директорії, файл шкідливої програми маскує свою присутність користувача за рахунок використання системної директорії Windows.



Crysis також видаляє резервні копії файлів, які створюються сервісом тіньового копіювання тому (Volume Shadow Copy Service, VSS). Коротко кажучи, служба VSS створює точні копії файлів щоразу, коли в системі відбуваються зміни в результаті установки або оновлення. Як показано на скріншоті, шифрувальник виконує набір певних команд для видалення копій файлів.



Нижче ми можемо побачити потік виконання шкідливого коду, в якому перші інструкції включають в себе виклики згадуваних функцій. Ми також можемо побачити деякі зміщення всередині файлу загрози, які вказують на використовувані у перейменування зашифрованих файлів рядка. Там же вказаний список розширень файлів, шифрування яких спеціалізується вимагач.



Шифрувальник і містить інструкції для користувача, які він буде використовувати при оплаті викупу та подальшої розшифровки файлів. На відміну від інших вимагачів, Crysis використовує для зберігання цих інструкцій текстові файли або файли зображень.



Одна з останніх дій, яке вживає Crysis після шифрування файлів користувача, полягає у відправці на віддалений сервер такої інформації як назва зараженого пристрою і спеціального ідентифікаційного коду з використанням HTTP-протоколу. Цікаво відзначити, що ті сайти, з якими намагається контактувати Crysis, обслуговуються серверами з уразливими версіями системи управління контентом WordPress.



Висновок
Наші фахівці розробили вільно поширюваний инструмент для розшифровки зашифрованих Crysis файлів. Він може бути використаний постраждалими від діяльності Crysis користувачами. Інструмент був розроблений із залученням майстер-ключів розшифровки, який був нещодавно опублікований. Для отримання більш детальної інформації про програму розшифровки, відвідайте веб-сторінку нашої бази знань.
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.