Crysis ランサムウェア

Crysis Ransomware は、感染したコンピューター上のファイルをロックし、復号化キーと引き換えに身代金を要求するマルウェアの脅威です。 Crysis によって暗号化されたファイルは、ユーザーがアクセスできなくなり、マルウェアは被害者のコンピューター上のファイルを暗号化するための高度な方法を使用するため、ファイルに保存されているデータを回復することはほとんど不可能です。この感染の副作用として、コンピュータの全体的なパフォーマンスの低下や、特定のツールやアプリケーションが正しく動作しなくなることもあります。 Crysis ランサムウェアは、Windows オペレーティング システムを実行しているコンピューターにのみ影響を及ぼし、2016 年 3 月に初めて登場しました。 それ以来、サイバーセキュリティの研究者は、この危険なランサムウェアのさまざまな亜種やバージョンを特定しました。 Dharma および Arena ランサムウェアの専門家は、これらすべての脅威を Crysis/Dharma ランサムウェア ファミリーと呼ぶことにしました。ファミリーの他のマルウェアと同様に、Crysis は暗号化されたファイルに特定の拡張子を追加しますが、拡張子はマルウェアのどの特定の亜種がコンピューターに感染したかによって異なります。

Crysis は悪意のある機能が拡張されているため、発見後はできるだけ早く削除する必要があります。また、PC セキュリティの専門家は、サイバー犯罪者に連絡を取ったり、必要な身代金を支払わないようにアドバイスしています。約束された解読キー。 Crysis ランサムウェアの配布チャネルも、長年にわたって進化してきました。当初は、悪意のある添付ファイルや破損したリンクを含むスパム メールがこの危険なランサムウェアの主な配布手段でしたが、現在、攻撃者はソーシャル エンジニアリング手法に依存して攻撃を実行していません。

配布方法

2016 年 9 月以降、Crysis は主に保護の弱いリモート デスクトップ プロトコル (RDP) を介して配布されており、この種の攻撃はオーストラリアとニュージーランドで最初に登録されています。このチャネルを介してコンピューターをハッキングするために、攻撃者はまず保護されていない RDP をインターネットでスキャンし、システムへの管理者アクセスに必要な Windows パスワードを解読して、ポート 3389 でそれらに接続します。次に、標的のシステムに手動でマルウェアをインストールします。これにより、ハッキングされたコンピューターに接続されている他のすべての周辺機器や、同じネットワークに接続されている他のコンピューターでも、悪意のあるスクリプトを実行できます。

Crysis ファミリーのランサムウェアは、当初、主に個人の PC ユーザーを標的にしていましたが、2 月の初めから、サイバーセキュリティの研究者は、マルウェア ファミリーの開発における新しい傾向を特定しました。攻撃数の驚異的な増加とランサムウェアの世界的な拡大とは別に、攻撃者は戦略を変更し、現在は主に大企業や主要な機関を標的にしています。そのために、ハッカーは開いている RDP ポートをスキャンしている間、特定のネットワークに接続されているコンピューターが企業のコンピューターであるかどうかを調べようとします。論理的には、その変化の理由は、企業がデータを取り戻すために多額の身代金を支払う可能性が高いという事実です。

技術データ

すでに述べたように、マルウェアはターゲット マシンに手動でインストールされます。ただし、実際のインストールの前、および暗号化プロセスの開始前に、ランサムウェアの所有者は、被害者の活動を監視し、一般的なシステム データと特定のユーザーに関連する個人データを収集できるキーロギング プログラムをいくつかドロップします。まさにそのような資格情報の収集と監視活動を通じて、ハッカーは攻撃の範囲を拡大し、同じネットワークに接続されている他のデバイスやリソースを侵害する可能性があります。同時に、収集されたデータにより、ハッカーは被害者が個人ユーザーか企業かに応じて、必要な身代金の額をカスタマイズすることもできます。その結果、Crysis ランサムウェアの亜種が大規模な企業ネットワークに侵入した場合、この金額は数千ドルに達する可能性があります。

インストール後、ランサムウェアが実行する最初のアクションは、Windows レジストリに独自のスタートアップ キーを作成することと、C:\Windows\System32、C:\Program Data などの正当な Windows ファイルを含むフォルダーにそのコードのコピーを作成することです。 、C:\Program Files、および C:\Users\Programs\Startup。これは、マルウェアの永続性を確保し、最近作成されたファイルの暗号化を可能にするために行われます。 Crysis に属する悪意のあるファイル、プロセス、およびレジストリ キーにはランダムに異なる名前が付けられる可能性があるため、それらをすぐに認識し、Windows オペレーティング システムに属する正当なオブジェクトと区別することは困難です。これが、このランサムウェアの除去に通常、専門のマルウェア クリーニング ツールが必要になる理由の 1 つです。

Crysis ルーチンの次のステップは、感染したコンピュータのハード ディスク上のすべてのファイルをスキャンし、それらを暗号化に適したファイルの組み込みリストと比較することです。このリストには、一般的なファイル形式のほぼすべてが含まれているため、マルウェアは、あらゆる形式の貴重なユーザー データを含む可能性のあるすべてのファイルを確実に識別して暗号化できます。さらに、Crysis は、その最新バージョンが拡張子のないシステム ファイルや実行可能ファイルを含む、感染したマシン上のほぼすべてのファイルを暗号化できるため、ファイルの場所に関係なく、真の注目を集めるランサムウェアの脅威になりました。固定、リムーバブル、またはネットワーク ドライブ。これは、他のランサムウェアの事例ではこれまで見られなかったものであり、Crysis/Dharma ランサムウェア ファミリの恐ろしい悪意のある機能を証明しています。 Crysis ランサムウェアで採用されている暗号化エンジンに関しては、ランサムウェア ファミリ全体の典型として、Crysis は RSA 暗号化と AES-128 暗号化アルゴリズムを組み合わせて使用し、秘密鍵をハッカーのサーバーに保存します。 2016 年の最初の出現以来、Crysis ファミリーのさまざまなランサムウェアの脅威が、暗号化されたファイルにさまざまな拡張子を付加してきました。最初のバージョンからの時系列で、これらの拡張子は、.crysis、.dharma、.wallet、.onion、.arena、.cobra、、java、.arrow、.bip、.cmb、.brr、.ガンマ、.bkp、.monro、.boost、.adobe、.cccmn、.AUDIT、.tron。今年11月中旬に検出されたCrysisの最新バージョンでは、ロックされたファイルに.Backと.Bearの拡張子が追加されていますが、場合によっては、攻撃者の連絡先アドレスも暗号化されたファイルの名前に追加されています。感染したユーザーごとに個別に生成される一意の被害者 ID として。

暗号化が完了すると、Crysis はテキスト ファイルの形式で身代金メモを作成します。このメモには、マルウェアの所有者が被害者からの連絡方法と、身代金の支払い方法が説明されています。マルウェアは通常、身代金メモ用に 2 つのファイルを作成します。1 つは自動的に開いてユーザーのデフォルトのデスクトップ イメージを置き換える HTML ファイル、もう 1 つはデスクトップに配置され、場合によっては感染したフォルダーにも配置される TXT ファイルです。これらの身代金メモファイルには、Help_Decrypt_FILES.html、Help_Decrypt_FILES.txt、info.hta、Files encrypted!!.txt という名前が付けられますが、身代金メモ自体には次のように記載されています。

"注意! あなたのコンピュータはウイルス エンコーダに攻撃されました。
すべてのファイルは暗号化されており、元のキーがなければ回復は不可能です!デコーダーと元のキーを取得するには、メールアドレス:dalailama2015@protonmail.ch 宛てに、ID を記載した件名「encryption」でメールを送信する必要があります。
ケースに書き込んで、空の脅威であなたと私たちの時間を無駄にしないでください。
適切な人だけの手紙への返信は無視するのが適切ではありません。
PS 48 時間以内に最初のメール アドレスから応答がない場合にのみ、この代替メール goldman0@india.com を使用してください。」

調査によると、Crysis ランサム ノートに記載されている 2 つのメール アドレスは、チェコ共和国とインドにあるドメインに属していますが、この事実から、マルウェアもこれらの国から発信されていると結論付けることはできません。 2017 年後半に登場したバージョンでは、被害者に支払い方法について別のメール アドレス cranbery@colorendgrace.com に連絡するように指示しています。マルウェアが被害者との通信に使用するその他の既知のアドレスには、Decryptallfiles@india.com、Tree_of_life@india.com、mailrepa.lotos@aol.com、Guardware@india.com などがあります。

2017 年 5 月より前にリリースされた特定のバージョンでは、無料の復号化ツールがリリースされていますが、その他の亜種では、暗号化されたファイルがバックアップからしか復元できないことも珍しくありません。これは、Crysis が実行できる別の悪意のあるアクティビティに由来します。これは、シャドウ ボリューム コピーとシステム復元ポイントを削除するようにプログラムできるため、専門的なバックアップ リカバリ ソリューションがなければ、暗号化されたデータのリカバリは不可能です。このマルウェアは、感染したコンピューターに追加のトロイの木馬やその他の脅威を展開することもできるため、攻撃者は、たとえば、すべてのユーザー アクティビティをリアルタイムでスパイすることができます。 Crysis ランサムウェアによってドロップされる人気のある悪意のあるペイロードには、暗号通貨マイナー、キーロガー、およびその他のウイルスも含まれます。

予防と駆除のテクニック

Crysis ランサムウェアへの感染を避けるために、コンピュータの通信チャネルには強力なパスワードを使用することをお勧めします。さらに、ユーザーは、信頼できるマルウェア対策プログラムをインストールし、ファイアウォールを有効にして、システムを常に最新の状態に保つことをお勧めします。 Crysis ランサムウェアの感染は、悪意のあるコンテンツを含む可能性のある疑わしい Web サイトの回避、不明な送信者からの電子メールの添付ファイルの無視、許可されたソースからのファイル、プログラム、およびソフトウェア更新のダウンロードなど、インターネットでの責任ある安全な行動によっても防止できます。マルウェアがシステムから削除された後に、そのようなランサムウェアの脅威によってロックされたファイルを回復できる唯一の方法が、場合によっては、すべての重要なデータの定期的なバックアップを維持することも必須です。

コンピューターが Crysis に感染したら、専門の駆除ツールを使わずに駆除することはお勧めしません。このタイプのマルウェアは、悪意のあるファイルを Windows オペレーティング システムのコアにドロップし、重要な正当な Windows アプリケーションとプロセスに影響を与え、経験の浅いユーザーがコンピューターの通常の操作を妨げずにこれらを見つけて削除することを難しくします。マルウェアの一部がシステムに残っていると、簡単にファイルの暗号化を再開できるため、Crysis ランサムウェアから PC を完全にクリーンアップすることが非常に重要です。

Crysis Ransomware がコンピューターに侵入すると、影響を受けるハード ドライブをスキャンして、暗号化するファイルを探します。 Crysis Ransomware の構成設定には、検索するファイル拡張子のリストが含まれています。 Crysis Ransomware 攻撃中に暗号化される一般的なファイル タイプは次のとおりです。

.odc、.odm、.odp、.ods、.odt、.docm、.docx、.doc、.odb、.mp4、sql、.7z、.m4a、.rar、.wma、.gdb、.tax、 .pkpass、.bc6、.bc7、.avi、.wmv、.csv、.d3dbsp、.zip、.sie、.sum、.ibank、.t13、.t12、.qdf、.bkp、.qic、.bkf 、.sidn、.sidd、.mddata、.itl、.itdb、.icxs、.hvpl、.hplg、.hkdb、.mdbackup、.syncdb、.gho、.cas、.svg、.map、.wmo、. itm、.sb、.fos、.mov、.vdf、.ztmp、.sis、.sid、.ncf、.menu、.layout、.dmp、.blob、.esm、.vcf、.vtf、.dazip、 .fpk、.mlx、.kf、.iwd、.vpk、.tor、.psk、.rim、.w3x、.fsh、.ntl、.arch00、.lvl、.snx、.cfr、.ff、.vpp_pc 、.lrf、.m2、.mcmeta、.vfs0、.mpqge、.kdb、.db0、.dba、.rofl、.hkx、.bar、.upk、.das、.iwi、.litemod、.asset、.フォージ、.ltx、.bsa、.apk、.re4、.sav、.lbf、.slm、.bik、.epk、.rgss3a、.pak、.big、ウォレット、.wotreplay、.xxx、.desc、. py、.m3u、.flv、.js、.css、.rb、.png、.jpeg、.txt、.p7c、.p7b、.p12、.pfx、.pem、.crt、.cer、.der、 .x3f、.srw、.pef、.ptx、.r3d、.rw2、.rwl、.raw、.raf、.orf、.nrw、.mrwref、.mef、.erf、.kdc、.dcr、.cr2 、.crw、.bay、.sr2、.srf、.arw、 .3fr、.dng、.jpe、.jpg、.cdr、.indd、.ai、.eps、.pdf、.pdd、.psd、.dbf、.mdf、.wb2、.rtf、.wpd、.dxg 、.xf、.dwg、.pst、.accdb、.mdb、.pptm、.pptx、.ppt、.xlk、.xlsb、.xlsm、.xlsx、.xls、.wps。

「.AUF ファイル拡張子」ランサムウェアはファイル暗号化トロイの木馬であり、攻撃によってファイルの大部分がすぐにアクセス不能になる可能性があります。これは、この脅威が、ドキュメント、画像、ビデオ、アーカイブなどの一般的なファイル形式のコンテンツをロックするために、生成された一意の暗号化キーを利用する安全なファイル ロック アルゴリズムを使用するようにプログラムされているためです。暗号化されたすべてのデータの名前は、「.AUF」拡張子を含むように変更されるため、たとえば、「backup.rar」というファイルは、攻撃後に「backup.rar.AUF」という名前になります。

「.AUF ファイル拡張子」ランサムウェアは、Crysis Ransomware のわずかに変更された亜種として識別されており、残念ながら、その被害者はファイルの回復を支援する無料の復号化プログラムに依存することができません。 「.AUF ファイル拡張子」ランサムウェアは、攻撃を実行した後、被害者に連絡先の詳細と、ファイルを再び使用できるようにしたい場合に行うべきことについての指示を被害者に提供することを目的とした身代金メモを投下します。悪いニュースは、攻撃者が提供するソリューションがかなり高価であることです.攻撃者は、復号化ソフトウェアと引き換えにビットコインの支払いを要求します。あなたのコンピュータをマルウェアに感染させたばかりの匿名のサイバー犯罪者に送金することはお勧めしません。 Crysis Ransomware ファミリーのこの特定のメンバーに使用される電子メールは Decisivekey@tutanota.com です。

「.AUF File Extension」ランサムウェアの被害者として、攻撃者に連絡することさえ考えるべきではありません。代わりに、信頼できるマルウェア対策ツールをすぐに実行し、そのスキャナーを使用して、「.AUF ファイル拡張子」ランサムウェアにリンクされているすべてのファイルを根絶する必要があります。このタスクが完了したら、回復プロセスの最後のステップに進む必要があります。このステップでは、バックアップからファイルを復元するか、代替のファイル回復ユーティリティを使用する必要があります。

SpyHunterはCrysis ランサムウェアを検出して削除します