Ransomware .Crysis (Crypto-Ransomware)

Les malwares de type Ransomware et rançongiciels
Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87325
Inscription : 10 sept. 2005 13:57
Contact :

Ransomware .Crysis (Crypto-Ransomware)

Message par Malekal_morte » 16 févr. 2016 16:08

Crysis est un Crypto-Ransomware (rançongiciel chiffreur de fichiers) apparu mi-février 2016. Le nom n'est pas encore établi, le Crysis vient du fait qu'il modifie les extensions des fichiers chiffrés en .Crysis

Tout comme LOL/OMG Ransomware, les campagnes Crysis cible particulièrement les entreprises et semblent être installés par des attaques par force brute RDP. Si le groupe est le même qu'OMG, il y a probablement peu de chance de récupérer les documents chiffrés. Cependant, le groupe semble différent compte tenu du message qui fait un peu "Noob" ( débutant ).

Le fond d'écran est modifié avec les instructions - adresse de contact dalailama2015@protonmail.ch
On retrouve le même message instructions que les variantes du virus-encoder.

Image

Image

Image
Your data was encrypted to decrypt it contact me at dalailama2015@protonmail.ch
Les fichiers contiennent l'identifiant - exemple :
desktop.ini.{dalailama2015@protonmail.ch}.CrySiS
Sur l'échantillon observé, la détection était plutôt bonne. Si l'attaquant a accès au serveur via un compte administrateur via RDP, il pourra tout à fait désactiver les solutions de sécurité donc attention à bien veiller à la configuration des services.
SHA256: 4273abc3693a52e8f9a7c82a4aa177fc883a438a0f18d22c6a35afb80608f9ba
Nom du fichier : _Skanda.exe
Ratio de détection : 36 / 55
Date d'analyse : 2016-02-18 15:43:59 UTC (il y a 27 minutes)

ALYac Trojan.GenericKD.3047941 20160218
AVG Generic37.ANWD 20160218
AVware Trojan.Win32.Generic!BT 20160218
Ad-Aware Trojan.GenericKD.3047941 20160218
AegisLab Troj.W32.Generic!c 20160218
Antiy-AVL Trojan[:HEUR]/Win32.AGeneric 20160218
Arcabit Trojan.Generic.D2E8205 20160218
Avast Win32:Malware-gen 20160218
Avira TR/Agent.286720.354 20160218
BitDefender Trojan.GenericKD.3047941 20160218
Comodo UnclassifiedMalware 20160218
DrWeb Trojan.Encoder.3953 20160218
ESET-NOD32 probably unknown NewHeur_PE 20160218
Emsisoft Trojan.GenericKD.3047941 (B) 20160218
F-Secure Trojan.GenericKD.3047941 20160218
Fortinet W32/Agent.AQHQ!tr 20160218
GData Trojan.GenericKD.3047941 20160218
Ikarus Win32.SuspectCrc 20160218
K7AntiVirus Trojan ( 0000000c1 ) 20160218
K7GW Trojan ( 0000000c1 ) 20160218
Kaspersky Trojan-Ransom.Win32.Cryptor.cg 20160218
McAfee RDN/Ransom 20160218
McAfee-GW-Edition BehavesLike.Win32.PWSZbot.dc 20160218
MicroWorld-eScan Trojan.GenericKD.3047941 20160218
Microsoft Ransom:Win32/Genasom 20160218
Panda Generic Suspicious 20160217
Qihoo-360 Win32/Trojan.8fd 20160218
Rising PE:Malware.Generic/QRS!1.9E2D [F] 20160218
Sophos Troj/Agent-AQHQ 20160218
Symantec Suspicious.Cloud.9 20160217
Tencent Win32.Trojan.Cryptor.Lkdj 20160218
TrendMicro TROJ_FRS.0NA003BH16 20160218
TrendMicro-HouseCall TROJ_FRS.0NA003BH16 20160218
VIPRE Trojan.Win32.Generic!BT 20160218
Zillya Trojan.Cryptor.Win32.14 20160218
nProtect Trojan.GenericKD.3047941 20160218
Solution de récupération de fichiers .Crysis

A tenter : http://esec-pentest.sogeti.com/posts/20 ... lware.html
et côté Kaspersky https://support.kaspersky.com/fr/8547
Les chances de récupération de fichiers sont minces.

D'autres outils sont mis à disposition d'un outil spécifique : Outils de décryptage (Decrypt Tools Ransomware)

Vous pouvez tenter de récupérer les fichiers avec Shadow Explorer - versions précédentes
Plus d'informations : Ransomware et récupération de fichiers
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.


Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87325
Inscription : 10 sept. 2005 13:57
Contact :

Re: Ransomware .Crysis (Crypto-Ransomware)

Message par Malekal_morte » 30 mars 2016 10:53

Toujours actif avec des fichiers chiffrés avec l'extension ingappletv.bat.ID8A8A3D20.milarepa.lotos@aol.com.CrySiS :
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\pingappletv.bat.ID8A8A3D20.milarepa.lotos@aol.com.CrySiS [2016-03-26] ()
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\PlexConnect.py.ID8A8A3D20.milarepa.lotos@aol.com.CrySiS [2016-03-26] ()
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Répondre

Revenir vers « Ransomware »

Qui est en ligne ?

Utilisateurs parcourant ce forum : Aucun utilisateur inscrit et 1 invité