Жертвы шифровальщика Crysis могут вздохнуть спокойно

Тема в разделе "Новости", создана пользователем Wulk@n, 16 ноя 2016.

  1. Wulk@n

    Wulk@n Администратор Команда форума Админ

    171
    100.007
    1.087
    shutterstock_356107088-680x400.jpg
    Теперь семейство троянцев-шифровальщиков Crysis представляет собой меньшую угрозу: в воскресенье в открытом доступе были опубликованы мастер-ключи шифрования. Исследователи «Лаборатории Касперского» сообщили, что уже включили новые ключи в дешифратор Rakhni и теперь жертвы второй и третьей итерации Crysis имеют возможность расшифровать свои файлы.


    Ключ был выложен в час ночи по времени Восточного побережья США на форуме BleepingComputer.com, посвященном поддержке пострадавших от Crysis пользователей, посетителем под ником crss7777. По словам основателя ресурса Лоуренса Абрамса (Lawrence Abrams), это мог быть сам разработчик шифровальщика. Неизвестный приложил ссылку на Pastebin, где содержался файл заголовка на языке C; в нем были мастер-ключи и инструкции к их использованию. «Хотя личность crss7777 неизвестна, глубокие познания о структуре мастер-ключей и публикация ключей в формате заголовочного файла на C могут указывать на то, что этот пользователь имеет отношение к разработке вымогателя Crysis, — сказал Абрамс. — Неизвестно, почему он решил опубликовать ключи; возможно, сыграли роль активизация оперативных действий со стороны правоохранительных органов и сотрудничество последних с ИБ-экспертами». Crysis появился в феврале, о чем тогда сообщила компания ESET. Эксперты ESET сказали, что вымогатель быстро приобрел популярность среди хакеров из-за публикации дешифратора другого популярного вымогателя — TeslaCrypt. Crysis распространяется через email-рассылки, содержащие вредоносное вложение с двойным расширением файла, а также вредоносные ссылки. Также зловред был обнаружен в троянизированных версиях бесплатного ПО (например, архиватора WinRAR). Как и большинство вымогателей, он был способен зашифровать большое количество форматов, а также мог добраться до файлов, хранящихся на съемных накопителях. Зашифрованные Crysis файлы имеют расширение .xtbl, а к имени файла прибавляется email-адрес (например, [filename].id-[id].[email_address].xtbl), рассказали в BleepingComputer. По данным «Лаборатории Касперского», Crysis ответственен за 1,15% всех заражений шифровальщиками в этом году. В основном зловред атакует жителей России, Японии, Южной и Северной Кореи и Бразилии. В этом году были расшифрованы ряд распространенных семейств вымогателей, в том числе CryptXXX, TeslaCrypt, Chimera, Jigsaw и другие. Программы-вымогатели — одна из наиболее опасных угроз года; атакам подверглись большие организации в различных отраслях экономики, что значительно повлияло на качество обслуживания клиентов. Ряд масштабных атак на больницы и предприятия ЖКХ поднял важный вопрос о том, стоит ли платить выкуп злоумышленникам, если отказ подвергает угрозе здоровье и жизни людей. ФБР уже выпустило несколько предупреждений об опасности вымогателей, призывая компании проявлять максимальную осторожность: вовремя закрывать уязвимости, через которые при помощи эксплойт-паков может проникнуть шифровальщик, а также распознавать email-кампании, направленные на распространение вымогателей. «Неспособность подобных организаций защитить от атак критически важные данные может привести к катастрофическим последствиям — например, к финансовым убыткам, сбоям в ежедневной работе и репутационному ущербу», — сказали в ФБР. В сентябре ФБР публично призвало организации, ставшие жертвами ransomware-атак, предоставлять бюро отчеты о подобных инцидентах — например, информацию о том, как инфекция попала в систему, о понесенных убытках или о биткойн-кошельке злоумышленников.