ESET: ransomware Crysis verspreidt zich in snel tempo

Sliedrecht, 8 juni 2016 – De geavanceerde ransomwarevariant Crysis verspreidt zich momenteel in een hoog tempo. Dat concluderen onderzoekers van beveiligingsbedrijf ESET na analyse van gegevens van het ESET LiveGrid-cloudplatform.

Het beruchte TeslaCrypt werd onlangs op non-actief gesteld. ESET gaf met hun speciale decryptiesoftware de wereld bovendien een instrument om gegevens kosteloos terug te claimen. Toch is ransomware nog allerminst op zijn retour. Naast Locky laat de ransomwarevariant Crysis een grote activiteit zien.

Geavanceerde versleuteling

Volgens analyse van ESET versleutelt Crysis data op lokale disks, maar ook op verwisselbare schijven en gekoppelde netwerkdrives. Crysis gebruikt geavanceerde versleutelingsalgoritmen en een schema dat snelle ontsleuteling zeer lastig maakt.

De verspreiding vindt hoofdzakelijk plaats via een dropper verstuurd via e-mail. De aanvallers geven deze dropper een dubbele extensie mee, waardoor het lijkt alsof het gaat om een niet-uitvoerbaar bestand. Een andere strategie is het verpakken van de dropper in ogenschijnlijk onschuldige installatiebestanden van bekende applicaties. Aanvallers verspreiden deze via diverse gedeelde netwerken en onlinelocaties.

Crysis nestelt zich stevig in systemen door aanpassing van het Windows-register. Daardoor activeert het zichzelf bij iedere systeemstart. Eenmaal opgestart versleutelt het alle aanwezige bestanden, ook die zonder extensie. Het laat enkel strikt noodzakelijke systeembestanden onaangeroerd. De trojan verzamelt vervolgens de computernaam en een aantal bestanden en verstuurt deze naar een door de aanvaller beheerde server. Op sommige Windows-systemen probeert Crysis zichzelf te starten met beheerrechten, waardoor het nog meer bestanden kan versleutelen.

Losgeld: 400 tot 900 euro

Heeft Crysis zijn taak eenmaal voltooid, dan laat het een tekstbestand met de naam ‘How to decrypt your files.txt’ achter op het bureaublad. In sommige gevallen plaatst het de boodschap ook als bureaubladachtergrond via de afbeelding DECRYPT.jpg. De boodschap bevat onder andere twee e-mailadressen van de afpersers bij wie slachtoffers zich kunnen melden voor meer informatie, zoals de hoogte van het gevraagde bedrag. Dit is veelal tussen de 400 en 900 euro. Het slachtoffer krijgt de instructie dit bedrag aan te schaffen in Bitcoins en deze naar de aanvallers te sturen.

Slachtoffers van oudere varianten van Crysis hebben een gerede kans hun data terug te krijgen zonder betaling van losgeld. Zij kunnen terecht bij de support desk van ESET voor verdere instructies.

Over ESET

Sinds 1987 ontwikkelt ESET bekroonde beveiligingssoftware die meer dan 100 miljoen gebruikers helpt om technologie veiliger te gebruiken. Het brede portfolio van beveiligingsproducten is geschikt voor alle populaire platformen en biedt bedrijven en consumenten over de gehele wereld de perfecte balans tussen prestaties en proactieve bescherming. Het wereldwijde verkoopnetwerk beslaat 180 landen, met regionale kantoren in Bratislava, San Diego, Singapore en Buenos Aires. Meer informatie is te vinden op www.eset.nl of volg ons op LinkedIn, Facebook en Twitter.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: