Crysis Ransomware

Crysis Ransomware är ett skadligt hot som låser upp filer på infekterade datorer och sedan kräver en lösen i utbyte mot en dekrypteringsnyckel. Filer som krypterats av Crysis blir oåtkomliga för användaren och data som lagras i dem kan knappast återställas eftersom skadlig programvara använder en sofistikerad metod för att kryptera filerna på offrets dator. Biverkningar av denna infektion är också en övergripande trög prestanda för datorn, liksom vissa verktyg och applikationer som inte fungerar korrekt. Crysis ransomware påverkar endast datorer som kör Windows-operativsystemet, och det verkade för första gången i mars 2016. Sedan dess har cybersäkerhetsforskare identifierat många olika varianter och versioner av denna farliga ransomware, och eftersom vissa av dem starkt liknar andra betydande hot som Dharma och Arena ransomware, experterna har beslutat att hänvisa till alla dessa hot som Crysis / Dharma Ransomware-familjen. Precis som andra skadliga program från familjen lägger Crysis till ett specifikt tillägg till de krypterade filerna, men tilläggen varierar beroende på vilken speciell variant av skadlig programvara som har infekterat datorn.

På grund av dess utökade skadliga funktioner bör Crysis tas bort så snart som möjligt efter det att det har upptäckts, och datorsäkerhetsexperter rekommenderar att aldrig kontakta cyberbrottslingar och aldrig betala den lösen som krävs eftersom det inte finns någon garanti för att de faktiskt kommer att skicka dig lovat dekrypteringsnyckel. Distributionskanalerna för Crysis ransomware har också utvecklats genom åren. Medan initialt spam-e-postmeddelanden som innehåller skadliga bilagor och skadade länkar har varit det viktigaste distributionsmedlet för denna farliga ransomware, förlitar sig för närvarande inte angriparna på socialteknik för att genomföra attackerna.

Distributionsmetoder

Sedan september 2016 distribueras Crysis huvudsakligen genom svagt skyddade Remote Desktop Protocols (RDP), varigenom de första attackerna av detta slag har registrerats i Australien och Nya Zeeland. För att hacka en dator genom denna kanal söker angripare först Internet för oskyddade RDP och ansluter sedan till dem på port 3389 genom att knäcka det nödvändiga Windows-lösenordet för administratörsåtkomst till systemet. Därefter installerar de skadlig kod manuellt på målsystemet, varigenom de också kan köra det skadliga skriptet på alla andra kringutrustning anslutna till den hackade datorn, liksom på andra datorer som är anslutna till samma nätverk.

Ransomware från Crysis-familjen riktade sig till en början mestadels till enskilda PC-användare, men sedan början av februari har cybersäkerhetsforskare identifierat en ny trend i utvecklingen av malware-familjen. Bortsett från den enorma tillväxten i antalet attacker och den globala expansionen av ransomware, har angriparna också ändrat sin strategi och riktar sig nu huvudsakligen till stora företag och större institutioner. För det ändamålet, när de söker efter öppna RDP-portar, försöker hackarna nu ta reda på om datorerna som är anslutna till ett visst nätverk är företagsdatorer, i vilket fall de är mer benägna att fortsätta med attacken. Logiskt sett är orsaken till det skiftet det faktum att företag är mer benägna att betala en stor mängd lösen för att få tillbaka sina uppgifter.

Teknisk data

Som redan nämnts installeras skadlig kod manuellt på måldatorn. Men innan den faktiska installationen och innan krypteringsprocessen startar, släpper ransomware-ägarna några nyckelloggningsprogram genom vilka de kan övervaka offrets aktiviteter och samla in allmänna systemdata samt personuppgifter relaterade till den specifika användaren. Exakt genom sådana uppgifter som skördar och övervakar aktiviteter kan hackarna utöka attackens omfattning och äventyra andra enheter eller resurser som är anslutna till samma nätverk. Samtidigt tillåter de insamlade uppgifterna också hackare att anpassa mängden lösen som krävs, beroende på om deras offer är en enskild användare eller ett företag. Som en konsekvens kan detta belopp nå tusentals dollar om Crysis-ransomware-varianten till exempel har träffat ett stort företagsnätverk.

Efter installationen är en av de första åtgärderna som utförs av ransomware att skapa egna startnycklar i Windows-registret, samt kopior av dess kod i mappar som innehåller legitima Windows-filer, som C: \ Windows \ System32, C: \ Programdata , C: \ Programfiler och C: \ Användare \ Program \ Startup. Detta görs för att säkerställa skadlig programvaras beständighet och för att möjliggöra kryptering av nyligen skapade filer. Skadliga filer, processer och registernycklar som tillhör Crysis kan ha slumpmässiga olika namn, så det är svårt att känna igen dem omedelbart och skilja dem från legitima objekt som tillhör Windows-operativsystemet. Detta är en av anledningarna till att borttagningen av denna ransomware vanligtvis kräver ett professionellt rengöringsverktyg för skadlig programvara.

Nästa steg i Crysis-rutinen är att skanna alla filer på den infekterade datorns hårddisk och jämföra dem med en inbyggd lista över filer som är lämpliga för kryptering. Nästan alla populära filformat ingår i listan, vilket säkerställer att skadlig programvara lyckas identifiera och kryptera alla filer som eventuellt kan innehålla värdefull användardata i vilken form som helst. Dessutom har Crysis förvandlats till ett verkligt högprofilerat ransomware-hot eftersom dess senaste versioner kan kryptera nästan varje enskild fil på den infekterade maskinen, inklusive systemfiler utan tillägg och körbara filer, och att oavsett filplats - på fasta, flyttbara eller nätverksenheter. Detta är något som vi inte sett tidigare i andra ransomware-fall, och det bevisar den fruktansvärda skadliga kapaciteten i Crysis / Dharma-ransomware-familjen. När det gäller krypteringsmotorn som används av Crysis ransomware, vilket är typiskt för hela ransomware-familjen, använder Crysis en blandning av RSA-kryptering och AES-128-krypteringsalgoritmer med den privata nyckeln som lagras på hackarens server. Sedan det första utseendet 2016 har de olika ransomwarehoten från Crysis-familjen lagt till olika tillägg till de krypterade filerna. I en kronologisk ordning från och med den första versionen och framåt är dessa tillägg: .crysis, .dharma, .wallet, .onion, .arena, .cobra,, java, .arrow, .bip, .cmb, .brr,. gamma, .bkp, .monro, .boost, .adobe, .cccmn, .AUDIT, .tron. Den senaste versionen av Crysis som upptäcktes i mitten av november i år lägger till .Back- och .Bear-tilläggen till de låsta filerna, medan i vissa fall läggs även angriparnas kontaktadress till namnet på de krypterade filerna. som ett unikt offer-ID som genereras individuellt till varje infekterad användare.

När krypteringen är klar skapar Crysis lösenanteckningar i form av textfiler där skadlig ägare förklarar hur de ska kontaktas av offret och hur lösen ska betalas. Skadlig programvara skapar vanligtvis två filer för lösenmeddelandet - en HTML-fil som öppnas automatiskt och ersätter användarens standardbild på skrivbordet och en TXT-fil som placeras på skrivbordet och i vissa fall också i en infekterad mapp. Dessa lösenordsfiler kan namnges Help_Decrypt_FILES.html, Help_Decrypt_FILES.txt, info.hta, Files encrypted !!. Txt, medan lösensedeln själv anger följande:

"Obs! Din dator attackerades av viruskodare.
Alla dina filer är krypterade kryptografiskt starka, utan den ursprungliga nyckeln är det omöjligt att återställa! För att få avkodaren och den ursprungliga nyckeln måste du skriva till oss på e-postadressen: dalailama2015@protonmail.ch med ämnet "kryptering" som anger ditt ID.
Skriv i fallet, slösa inte din och vår tid på tomma hot.
Svar på brev endast lämpliga personer är inte adekvata ignoreras.
PS endast om du inte får svar från den första e-postadressen inom 48 timmar, använd detta alternativa e-postmeddelande goldman0@india.com. "

Forskning visar att de två e-postadresserna som anges i Crysis-lösensedeln tillhör domäner i Tjeckien och Indien, men det kan dock inte dras slutsatsen att skadlig programvara också härrör från dessa länder. En version som dök upp i slutet av 2017 instruerar sina offer att kontakta en annan e-postadress för betalningsinstruktioner, nämligen cranbery@colorendgrace.com. Andra kända adresser som används av skadlig kod för att kommunicera med dess offer inkluderar Decryptallfiles@india.com, Tree_of_life@india.com, mailrepa.lotos@aol.com, Guardware@india.com.

Gratis dekrypteringsverktyg har släppts för vissa versioner som släpptes före maj 2017, medan det för resten av varianterna inte är ovanligt att de krypterade filerna bara kan återställas från säkerhetskopior. Detta kommer från en annan skadlig aktivitet som Crysis kan utföra - den kan programmeras för att ta bort Shadow Volume-kopior och systemåterställningspunkter, vilket gör det omöjligt att återställa krypterad data utan en professionell lösning för säkerhetskopiering. Denna skadliga kod kan också distribuera ytterligare trojaner och andra hot på den infekterade datorn, vilket gör att angriparna till exempel kan spionera på alla användaraktiviteter i realtid. Populära skadliga nyttolast som Crysis-ransomware tappar inkluderar även gruvarbetare, nyckelloggare och andra virus.

Förebyggande och borttagningstekniker

För att undvika en infektion med Crysis-ransomware rekommenderas att du använder starka lösenord för datorns kommunikationskanaler. Dessutom rekommenderas användare att installera ett tillförlitligt program mot skadlig kod, aktivera en brandvägg och att hålla sitt system uppdaterat när som helst. En Crysis-ransomware-infektion kan också förhindras genom ansvarsfullt och säkert beteende på Internet, vilket inkluderar att undvika misstänkta webbplatser som kan innehålla skadligt innehåll, ignorera e-postbilagor från okända avsändare och ladda ner filer, program och programuppdateringar endast från auktoriserade källor. Att upprätthålla regelbundna säkerhetskopior av alla viktiga data är också ett måste eftersom det ibland är det enda sättet att filer som är låsta av ett sådant ransomware-hot kan återställas efter att skadlig kod har tagits bort från systemet.

När en dator har infekterats med Crysis rekommenderas det inte att du försöker ta bort den utan ett professionellt borttagningsverktyg. Denna typ av skadlig kod släpper sina skadliga filer i kärnan i Windows-operativsystemet, vilket påverkar viktiga legitima Windows-applikationer och process och gör det svårt för en oerfaren användare att hitta och ta bort dessa utan att störa datorns vanliga funktioner. Det är av avgörande betydelse att rengöra din dator helt från Crysis ransomware, eftersom om någon del av skadlig programvara finns kvar på systemet kan den enkelt börja kryptera filer igen.

När Crysis Ransomware går in i en dator, skannar den de drabbade hårddiskarna på jakt efter filer att kryptera. I sina konfigurationsinställningar innehåller Crysis Ransomware en lista över filtillägg som den söker efter. Vanliga filtyper som krypteras under en Crysis Ransomware-attack inkluderar:

.odc, .odm, .odp, .ods, .odt, .docm, .docx, .doc, .odb, .mp4, sql, .7z, .m4a, .rar, .wma, .gdb, .tax, .pkpass, .bc6, .bc7, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf, .bkp, .qic, .bkf , .sidn, .sidd, .mddata, .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo,. itm, .sb, .fos, .mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc , .lrf, .m2, .mcmeta, .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset,. smide, .ltx, .bsa, .apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, plånbok, .wotreplay, .xxx, .desc,. py, .m3u, .flv, .js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2 , .crw, .bay, .sr2, .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg , .xf, .dwg, .pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps.

Ransomware '.AUF File Extension' är en Trojan-filkryptering vars attacker snabbt kan göra majoriteten av dina filer otillgängliga. Detta beror på att detta hot är programmerat för att använda en säker fillåsningsalgoritm som använder en unik genererad krypteringsnyckel för att låsa innehållet i populära filformat som dokument, bilder, videor, arkiv och andra. Alla krypterade data kommer att ha sitt namn ändrat så att det inkluderar tillägget '.AUF' så att till exempel en fil som heter 'backup.rar' kommer att få namnet 'backup.rar.AUF' efter attacken.

Ransomware '.AUF File Extension' har identifierats som en något modifierad variant av Crysis Ransomware och tyvärr betyder det att dess offer inte kommer att kunna förlita sig på en gratis dekrypterare för att hjälpa dem med återställningen av deras filer. Efter '.AUF File Extension' Ransomware utför sin attack, släpper den en lösenbrev vars syfte är att ge offren kontaktuppgifter och instruktioner om vad de ska göra om de vill kunna använda sina filer igen. Den dåliga nyheten är att lösningen som angriparna erbjuder är ganska dyr - de kräver att få en Bitcoin-betalning i utbyte mot deras dekrypteringsprogramvara. Vi föreslår inte att skicka pengar till anonyma cyberbrottslingar som just har smittat din dator med skadlig kod, eftersom det skulle vara väldigt enkelt för dem att ta pengarna utan att ge dig något i gengäld. E-postmeddelandet som används för just denna medlem av familjen Crysis Ransomware är Decisivekey@tutanota.com.

Som ett offer för '.AUF File Extension' Ransomware bör du inte ens överväga att kontakta angriparna, eftersom det är osannolikt att något bra kommer ut ur detta. Istället bör du köra ett pålitligt verktyg för skadlig kod omedelbart och använda sin skanner för att utrota alla filer som är länkade till Ransomware '.AUF File Extension'. När denna uppgift är klar bör du gå vidare till det sista steget i återställningsprocessen, vilket kräver att du återställer dina filer från en säkerhetskopia eller använder alternativa filåterställningsverktyg.

SpyHunter upptäcker och tar bort Crysis Ransomware