Что за программа crysis

Шифровальщик (вирус-шантажист). Защита от программ-шифровальщиков. Как удалить вирус-шифровальщик?
Шифровальщики — это вредоносные программы, которые шифруют файлы и требуют выкуп за их расшифровку.
Данный сайт — это ДАЙДЖЕСТ и ПЕРВОИСТОЧНИК информации о шифровальщиках и всевозможных вымогателях.
Авторские статьи, инструкции для пострадавших, рекомендации по защите и профилактике угрозы Ransomware.

• Главная
• Введение
• Новости
• Список
• ID Ransomware
• Глоссарий
• Генеалогия
• О блоге
• Онлайн-заявление
• Free HELP!
• Руководство для пострадавшего
• Способы защиты
• Комплекс защиты
• Лучшие методы защиты
• Ransomware FAQ
• Как удалить Ransomware?
• Дешифровщики
• Anti-Ransomware
• Заказ тест-расшифровки
• Помощь сайту
• Вам нужна помощь?
• Условия использования
• Контакт
• Drive-by Downloads
• Пять мифов о безопасности Windows
• Freeware и майнинг
• Отправить файл на анализ
• Условия оправдания и реабилитации
• Защита организации от Ransomware
• Анализ затрат-потерь от RW
• Защита удаленной работы от RW
• Защита RDP от RW
• Защита бэкапов от RW

суббота, 21 мая 2016 г.

CrySiS

CrySiS Ransomware

(шифровальщик-вымогатель)

Translation into English

Crysis Remastered vs Crysis Enhanced Edition — В Какую версию поиграть?

Этот крипто-вымогатель шифрует данные с помощью алгоритма Rijndael (AES-256), а затем требует от 2.5 до 3 биткоинов (до 900 евро) за расшифровку. Уплатить выкуп необходимо в течении 48 часов. CrySiS создан и распространялся из Украины. Программным приемником CrySiS Ransomware является вымогательский проект Dharma Ransomware и некоторые другие.

Изображение — это логотип статьи

Этимология названия:
Название получил от Crysis — популярная компьютерная игра, научно-фантастический шутер от первого лица, разработанный немецкой компанией Crytek и изданный Electronic Arts в 2007 году.

Обои, установленные вымогателем

Текстовое сообщение вымогателя

Список файловых расширений, подвергающихся шифрованию:
Криптовымогатель шифрует ВСЕ файлы, которые не являются частью операционной системы и не находятся в критически важных папках, нужных для работы, что затрудняет возможности их восстановления.

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

ИГРЫ, ОПЕРЕДИВШИЕ ВРЕМЯ: CRYSIS

Внимание! Для зашифрованных файлов есть дешифровщики! * 1) Скачать RakhniDecryptor для CrySiS >> 2) Скачать Avast Decryptor для CrySiS >> 3) Скачать ESET Crysis decryptor для CrySiS >> *
Read to links: Tweet on Twitter + Tweet ID Ransomware (ID as CrySiS) Write-up, Topic of Support *
Thanks: Michael Gillespie, BleepingComputer Andrew Ivanov (author) *** to the victims who sent the samples

Источник: id-ransomware.blogspot.com

Как удалить CrySis virus: Полное руководство

CrySis virus — вредоносная программа, которая шифрует личные документы на компьютере пользователя. Эта ransomware выводит сообщение, предлагающее расшифровать всю информацию за деньги. Инструкции по расшифровке появляются на рабочем столе зараженного ПК.

CrySis virus считается шифровальщиком файлов, ограничивающим доступ к документам, изображениям, видео. Вирус шифрует файлы, а затем вымогает деньги у жертв. Ransomware проникает на все версии Windows. Во время запуска исполняемый файл начинает сканировать все диски на ПК, чтобы найти необходимые данные для шифрования.

Кроме того, инфекция удаляет все теневые копии томов, чтобы пользователь не мог использовать их для восстановления данных.

Как CrySis virus попало на мой ПК?

Распространение CrySis virus происходит чаще всего через спам, содержащийся в зараженных вложениях, а также с помощью вирусных программ в операционной системе.

Примеры попадания CrySis virus на компьютер:

• Киберпреступники отправляют электронное письмо, которое имеет поддельные заголовки и сплошной обман в контексте. Например, в письме может говориться об акциях от транспортных компаний или о том, что они пытались доставить посылку пользователю, но по каким-то причинам не смогли этого сделать. Часто письма утверждают, что это просто уведомления об отправке заказанных отправлений. Человек не может устоять перед любопытством и открывает такое письмо с вложенным в него файлом или ссылкой. В результате ПК мгновенно заражается CrySis virus.
• CrySis virus атакует жертв, находя уязвимости в программном обеспечении компьютера, в его операционной системе, браузерах, сторонних приложениях и т.д.

Как удалить CrySis virus? Пошаговое руководство

Вот полное руководство, которое поможет избавиться от CrySis virus на вашем компьютере. Наиболее эффективным способом является использование проверенного автоматического инструмента, такого как AVarmor

Вы должны понимать, что если вы хотите удалить CrySis virus и уже начали процесс удаления, вы рискуете потерять все имеющиеся у вас файлы, потому что нет никакой гарантии, что вы сможете их восстановить. Пользовательские данные могут быть полностью повреждены, если вы вручную удалите инфекцию или восстановите зашифрованные файлы.

Однако вы можете попробовать решить все проблемы в режиме ручного удаления. Давайте разберемся в этом более подробно.

Важная информация

К сожалению, восстановить файлы, зашифрованные программой CrySis virus, невозможно. Это связано с тем, что закрытый ключ, который необходим для разблокировки зашифрованных файлов, доступен только киберпреступникам.

Ни в коем случае не платите никаких денег за восстановление ваших файлов. Даже заплатив выкуп, нет никакой гарантии, что преступники предоставят вам доступ к файлам.

Прежде всего, необходимо убедиться, что вредоносная программа удалена из системы ПК, так как она блокирует систему и шифрует файлы, если остается в системе.

Проблема с доступом к зашифрованным файлам существует и сегодня, но антивирусные компании, наряду с хакерами, периодически выпускают дескрипторы — ключи к заблокированным файлам. Поэтому еще одним вариантом выхода из ситуации может стать появление необходимого дескриптора. Перед получением ключа пользователю следует сохранить файлы.

Дескриптор — это систематизация основных параметров вируса в закодированном виде (символы, начинающиеся с заглавной латинской буквы, маленькие латинские буквы и цифры).

Метод 1: Удалить CrySis virus с AVarmor

AVarmor — это инструмент, который удаляет вредоносное ПО. Утилита помогает пользователям удалять с компьютеров ransomware типа CrySis virus и различные вредоносные программы. Утилита имеет простой и удобный интерфейс, а также мощные механизмы для защиты всей системы вашего ПК.

1. Скачайте и установите AVarmor.
2. После завершения процесса загрузки запустите утилиту, согласившись с ее настройками. Перед этим необходимо закрыть все посторонние программы на вашем компьютере.
3. Утилита начнет свою работу, и пользователю необходимо нажать кнопку «Сканировать» на наличие вредоносного ПО.
4. После завершения сканирования будет сформирован список найденных опасных объектов.
5. Удалить все найденные угрозы.
6. После завершения очистки перезагрузите компьютер.

Метод 2: Подключите компьютер к сети и войдите в безопасный режим

Сначала попробуйте загрузить компьютер в безопасном режиме. Это поможет вам предотвратить запуск CrySis virus.

Windows 7, 10, Vista, XP

1. Сначала выполните перезагрузку компьютера.
2. Нажмите F8 до появления Windows.
3. Вы увидите меню дополнительных опций.
4. Перейдите в «Безопасный режим с подключением к сети»
5. Нажмите Enter.

Windows 8, Windows 8.1

1. Нажмите Windows+R, чтобы вызвать окно RUN.
2. Введите команду msconfig.
3. Нажмите OK.
4. Перейдите на вкладку Boot.
5. В этой области выберите опции Safe Boot и Networking.
6. Нажмите OK.
7. Перезагрузите компьютер.

Итог

Специалисты ESET выпустили новый инструмент расшифровки файлов шифровальщика Crysis

С момента своего появления, вымогатели-шифровальщики представляют из себя прибыльный инструмент для организации бизнеса киберпреступников. Количество представителей таких семейств вредоносных программ выросло достаточно быстро, причем их жертвами становились как корпоративные пользователи (компании), так и простые пользователи.

Один из шифровальщиков под названием Crysis заразил достаточно большое количество пользователей по всему миру, антивирусные продукты ESET обнаруживают его как Win32/Filecoder.Crysis. В случае этого шифровальщика, жертвам повезло больше, поскольку наши специалисты разработали бесплатный инструмент для расшифровки зашифрованных файлов.

Crysis является типичным представителем вымогателей-шифровальщиков, специализирующихся на шифровании файлов и запросе выкупа за их расшифровку. Он использует алгоритмы RSA и AES с длинными ключами шифрования, что делает процесс расшифровки файлов без оплаты выкупа почти невозможным.

Crysis приобрел широкое распространение после спада активности другого известного вымогателя под названием TeslaCrypt. В свое время TeslaCrypt был также очень распространен, но в начале года его активность снизилась из-за появления инструмента для расшифровки файлов.

Злоумышленники использовали разные способы для распространения Crysis, начиная от вредоносных сообщений электронной почты, заканчивая рекламой в социальных сетях. Рост количества обнаружений этого вымогателя по всему миру начался в конце мая. На сегодняшний день антивирусные продукты ESET обнаружили различные варианты этого вредоносного ПО в 123 странах, хотя почти 60% из этих заражений приходится на 10 стран.

Сам исполняемый файл вредоносной программы мало чем отличается от других, причем злоумышленники не используют для него упаковщик.

Выполнив статический анализ образца шифровальщика, мы можем обнаружить некоторые его основные характеристики. Одним из первых действий, которое предпринимается вредоносной программой, является создание копий своего файла в указанных ниже директориях. Таким образом вымогатель обеспечивает себе запуск после перезагрузки.

C:UsersVictimAppDataRoamingMicrosoftWindowsStart MenuProgramsStartup
C:WindowsSystem32

Первая директория используется Windows для исполнения всех приложений из нее после того, как пользователь успешно вошел в систему. Таким образом вредоносная программа обеспечивает шифрование недавно созданных файлов.

Располагаясь во второй директории, файл вредоносной программы маскирует свое присутствие от пользователя за счет использования системной директории Windows.

Crysis также удаляет резервные копии файлов, которые создаются сервисом теневого копирования тома (Volume Shadow Copy Service, VSS). Коротко говоря, служба VSS создает теневые копии файлов каждый раз, когда в системе происходят изменения в результате установки или обновления ПО. Как показано на скриншоте, шифровальщик исполняет набор определенных команд для удаления копий файлов.

Ниже мы можем увидеть поток исполнения вредоносного кода, в котором первые инструкции включают в себя вызовы упоминавшихся функций. Мы также можем увидеть некоторые смещения внутри файла угрозы, которые указывают на используемые в переименовании зашифрованных файлов строки. Там же указан список расширений файлов, на шифровании которых специализируется вымогатель.

Шифровальщик содержит и инструкции для пользователя, которые он будет использовать при оплате выкупа и последующей расшифровки файлов. В отличие от других вымогателей, Crysis использует для хранения этих инструкций текстовые файлы или файлы изображений.

Одно из последних действий, которое предпринимает Crysis после шифрования файлов пользователя, заключается в отправке на удаленный сервер такой информации как название зараженного устройства и специального идентификационного кода с использованием HTTP-протокола. Интересно отметить, что те сайты, с которыми пытается контактировать Crysis, обслуживаются серверами с уязвимыми версиями системы управления содержимым WordPress.

Наши специалисты разработали свободно распространяемый инструмент для расшифровки зашифрованных Crysis файлов. Он может быть использован пострадавшими от деятельности Crysis пользователями. Инструмент был разработан с привлечением мастер-ключей расшифровки, который был недавно опубликован. Для получения более детальной информации о программе расшифровки, посетите веб-страницу нашей базы знаний.

• Блог компании ESET NOD32
• Антивирусная защита

Источник: habr.com