Ransomware .Crysis (Crypto-Ransomware)

Les malwares de type Ransomware et rançongiciels
Malekal_morte
Messages : 116321
Inscription : 10 sept. 2005 13:57

Ransomware .Crysis (Crypto-Ransomware)

par Malekal_morte »

Crysis est un Crypto-Ransomware (rançongiciel chiffreur de fichiers) apparu mi-février 2016. Le nom n'est pas encore établi, le Crysis vient du fait qu'il modifie les extensions des fichiers chiffrés en .Crysis

Tout comme LOL/OMG Ransomware, les campagnes Crysis cible particulièrement les entreprises et semblent être installés par des attaques par force brute RDP. Si le groupe est le même qu'OMG, il y a probablement peu de chance de récupérer les documents chiffrés. Cependant, le groupe semble différent compte tenu du message qui fait un peu "Noob" ( débutant ).

Le fond d'écran est modifié avec les instructions - adresse de contact dalailama2015@protonmail.ch
On retrouve le même message instructions que les variantes du virus-encoder.

Image

Image

Image
Your data was encrypted to decrypt it contact me at [email protected]
Les fichiers contiennent l'identifiant - exemple :
desktop.ini.{[email protected]}.CrySiS
Sur l'échantillon observé, la détection était plutôt bonne. Si l'attaquant a accès au serveur via un compte administrateur via RDP, il pourra tout à fait désactiver les solutions de sécurité donc attention à bien veiller à la configuration des services.
SHA256: 4273abc3693a52e8f9a7c82a4aa177fc883a438a0f18d22c6a35afb80608f9ba
Nom du fichier : _Skanda.exe
Ratio de détection : 36 / 55
Date d'analyse : 2016-02-18 15:43:59 UTC (il y a 27 minutes)

ALYac Trojan.GenericKD.3047941 20160218
AVG Generic37.ANWD 20160218
AVware Trojan.Win32.Generic!BT 20160218
Ad-Aware Trojan.GenericKD.3047941 20160218
AegisLab Troj.W32.Generic!c 20160218
Antiy-AVL Trojan[:HEUR]/Win32.AGeneric 20160218
Arcabit Trojan.Generic.D2E8205 20160218
Avast Win32:Malware-gen 20160218
Avira TR/Agent.286720.354 20160218
BitDefender Trojan.GenericKD.3047941 20160218
Comodo UnclassifiedMalware 20160218
DrWeb Trojan.Encoder.3953 20160218
ESET-NOD32 probably unknown NewHeur_PE 20160218
Emsisoft Trojan.GenericKD.3047941 (B) 20160218
F-Secure Trojan.GenericKD.3047941 20160218
Fortinet W32/Agent.AQHQ!tr 20160218
GData Trojan.GenericKD.3047941 20160218
Ikarus Win32.SuspectCrc 20160218
K7AntiVirus Trojan ( 0000000c1 ) 20160218
K7GW Trojan ( 0000000c1 ) 20160218
Kaspersky Trojan-Ransom.Win32.Cryptor.cg 20160218
McAfee RDN/Ransom 20160218
McAfee-GW-Edition BehavesLike.Win32.PWSZbot.dc 20160218
MicroWorld-eScan Trojan.GenericKD.3047941 20160218
Microsoft Ransom:Win32/Genasom 20160218
Panda Generic Suspicious 20160217
Qihoo-360 Win32/Trojan.8fd 20160218
Rising PE:Malware.Generic/QRS!1.9E2D [F] 20160218
Sophos Troj/Agent-AQHQ 20160218
Symantec Suspicious.Cloud.9 20160217
Tencent Win32.Trojan.Cryptor.Lkdj 20160218
TrendMicro TROJ_FRS.0NA003BH16 20160218
TrendMicro-HouseCall TROJ_FRS.0NA003BH16 20160218
VIPRE Trojan.Win32.Generic!BT 20160218
Zillya Trojan.Cryptor.Win32.14 20160218
nProtect Trojan.GenericKD.3047941 20160218
Solution de récupération de fichiers .Crysis

A tenter : http://esec-pentest.sogeti.com/posts/20 ... lware.html
et côté Kaspersky https://support.kaspersky.com/fr/8547
Les chances de récupération de fichiers sont minces.

D'autres outils sont mis à disposition d'un outil spécifique : Outils de décryptage (Decrypt Tools Ransomware)

Vous pouvez tenter de récupérer les fichiers avec Shadow Explorer - versions précédentes
Plus d'informations : Ransomware et récupération de fichiers
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 116321
Inscription : 10 sept. 2005 13:57

Re: Ransomware .Crysis (Crypto-Ransomware)

par Malekal_morte »

Toujours actif avec des fichiers chiffrés avec l'extension [email protected] :
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\[email protected] [2016-03-26] ()
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\[email protected] [2016-03-26] ()
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Ransomware »