Crypyt-ransomware

Cybercriminelen hebben een nieuwe ransomware-bedreiging vrijgegeven met de naam Crypyt Ransomware. Hoewel uit analyse is gebleken dat Crypyt een variant is van de VoidCrypt-malwarefamilie, kan het nog steeds ernstige schade aanrichten aan de computers die het weet te infecteren. De dreiging is uitgerust met een onkraakbaar coderingsproces dat verschillende bestandstypen kan vergrendelen. Slachtoffers van Crypyt zullen geen toegang meer hebben tot de versleutelde bestanden of deze niet langer kunnen gebruiken. De aanvallers zullen dan aanbieden om de getroffen gebruikers te voorzien van de benodigde decoderingssleutel en softwaretool, maar alleen nadat ze een flink losgeld hebben betaald. Andere ransomware-bedreigingen zijn onder meer WORM (een Dharma- variant), Rugi (een STOP/Djvu- variant) en de Extortionist Ransomware.

Tijdens de versleuteling zal de naam van elk gericht bestand ook drastisch worden gewijzigd. De dreiging volgt de typische VoidCrypt-naamgevingsconventie en voegt aan de namen van de vergrendelde bestanden een e-mailadres, een ID-tekenreeks toe die is toegewezen aan het specifieke aangetaste systeem en ten slotte een nieuwe bestandsextensie. Het e-mailadres en de extensie die door deze specifieke variant worden gebruikt, zijn '3ncrypter.m4n@gmail.com' en '.crypyt.' Het losgeldbriefje met instructies voor de slachtoffers wordt vervolgens als een tekstbestand met de naam 'Read-this.txt' aan het systeem geleverd.

Details losgeld:

Volgens het bericht waarin losgeld wordt gevraagd, zouden alle slachtoffers een bestand met de naam 'prvkey.txt.key' op het apparaat moeten vindendirect. De standaardlocatie bevindt zich in de map C:\ProgramData\. Blijkbaar bevat dit bestand cruciale gegevens (sleutel) en zonder dit kunnen zelfs de aanvallers geen van de vergrendelde bestanden herstellen. Het bestand moet naar hackers worden verzonden via de twee e-mailadressen die worden vermeld in de losgeldbrief - '3ncrypter.m4n@gmail.com' en '3ncryptionfile@gmail.com.'

Naast dit specifieke bestand kunnen de slachtoffers van Crypyt ook een aantal van hun vergrendelde bestanden verzenden die zogenaamd gratis zullen worden ontgrendeld.De gekozen bestanden mogen echter geen waardevolle informatie bevatten en mogen kleiner zijn dan 1 MB. Ten slotte staat in de notitie dat het losgeld moet worden overgemaakt met behulp van de Bitcoin-cryptocurrency, een populaire vraag onder ransomware-operators.

De volledige tekst van de notitie van Crypyt is:

' Al uw bestanden zijn versleuteld'
U moet betalen om uw bestanden terug te krijgen

1-Ga naar C:\ProgramData\ of in Uw andere schijven en stuur ons het prvkey.txt.key-bestand
2-U kunt een bestand van minder dan 1 MB verzenden voor de decoderingstest om ons te vertrouwen. Maar het testbestand mag geen waardevolle gegevens bevatten
3-Betaling moet met Bitcoin zijn
4-Windows wijzigen zonder het prvkey.txt.key-bestand op te slaan zal permanent gegevensverlies veroorzaken

Onze e-mail:3ncrypter.m4n@gmail.com
in geval van geen antwoord:3ncryptionfile@gmail.com '