Tout comme LOL/OMG Ransomware, les campagnes Crysis cible particulièrement les entreprises et semblent être installés par des attaques par force brute RDP. Si le groupe est le même qu'OMG, il y a probablement peu de chance de récupérer les documents chiffrés. Cependant, le groupe semble différent compte tenu du message qui fait un peu "Noob" ( débutant ).
Le fond d'écran est modifié avec les instructions - adresse de contact dalailama2015@protonmail.ch
On retrouve le même message instructions que les variantes du virus-encoder.
Les fichiers contiennent l'identifiant - exemple :Your data was encrypted to decrypt it contact me at [email protected]
Sur l'échantillon observé, la détection était plutôt bonne. Si l'attaquant a accès au serveur via un compte administrateur via RDP, il pourra tout à fait désactiver les solutions de sécurité donc attention à bien veiller à la configuration des services.desktop.ini.{[email protected]}.CrySiS
Solution de récupération de fichiers .CrysisSHA256: 4273abc3693a52e8f9a7c82a4aa177fc883a438a0f18d22c6a35afb80608f9ba
Nom du fichier : _Skanda.exe
Ratio de détection : 36 / 55
Date d'analyse : 2016-02-18 15:43:59 UTC (il y a 27 minutes)
ALYac Trojan.GenericKD.3047941 20160218
AVG Generic37.ANWD 20160218
AVware Trojan.Win32.Generic!BT 20160218
Ad-Aware Trojan.GenericKD.3047941 20160218
AegisLab Troj.W32.Generic!c 20160218
Antiy-AVL Trojan[:HEUR]/Win32.AGeneric 20160218
Arcabit Trojan.Generic.D2E8205 20160218
Avast Win32:Malware-gen 20160218
Avira TR/Agent.286720.354 20160218
BitDefender Trojan.GenericKD.3047941 20160218
Comodo UnclassifiedMalware 20160218
DrWeb Trojan.Encoder.3953 20160218
ESET-NOD32 probably unknown NewHeur_PE 20160218
Emsisoft Trojan.GenericKD.3047941 (B) 20160218
F-Secure Trojan.GenericKD.3047941 20160218
Fortinet W32/Agent.AQHQ!tr 20160218
GData Trojan.GenericKD.3047941 20160218
Ikarus Win32.SuspectCrc 20160218
K7AntiVirus Trojan ( 0000000c1 ) 20160218
K7GW Trojan ( 0000000c1 ) 20160218
Kaspersky Trojan-Ransom.Win32.Cryptor.cg 20160218
McAfee RDN/Ransom 20160218
McAfee-GW-Edition BehavesLike.Win32.PWSZbot.dc 20160218
MicroWorld-eScan Trojan.GenericKD.3047941 20160218
Microsoft Ransom:Win32/Genasom 20160218
Panda Generic Suspicious 20160217
Qihoo-360 Win32/Trojan.8fd 20160218
Rising PE:Malware.Generic/QRS!1.9E2D [F] 20160218
Sophos Troj/Agent-AQHQ 20160218
Symantec Suspicious.Cloud.9 20160217
Tencent Win32.Trojan.Cryptor.Lkdj 20160218
TrendMicro TROJ_FRS.0NA003BH16 20160218
TrendMicro-HouseCall TROJ_FRS.0NA003BH16 20160218
VIPRE Trojan.Win32.Generic!BT 20160218
Zillya Trojan.Cryptor.Win32.14 20160218
nProtect Trojan.GenericKD.3047941 20160218
A tenter : http://esec-pentest.sogeti.com/posts/20 ... lware.html
et côté Kaspersky https://support.kaspersky.com/fr/8547
Les chances de récupération de fichiers sont minces.
D'autres outils sont mis à disposition d'un outil spécifique : Outils de décryptage (Decrypt Tools Ransomware)
Vous pouvez tenter de récupérer les fichiers avec Shadow Explorer - versions précédentes
Plus d'informations : Ransomware et récupération de fichiers