Crysis ransomware verspreidt zich in hoog tempo
De geavanceerde ransomwarevariant Crysis verspreidt zich momenteel in een hoog tempo. Deze malware versleutelt niet alleen data op lokale schijven, maar ook op verwisselbare schijven en gekoppelde netwerkdrives.
Hiervoor waarschuwen onderzoekers van beveiligingsbedrijf ESET na analyse van gegevens van het ESET LiveGrid-cloudplatform. Het beruchte TeslaCrypt werd onlangs op non-actief gesteld. ESET stelde een tool beschikbaar waarmee slachtoffers van TeslaCrypt hun gegevens kosteloos konden ontsleutelen. Andere ransomware blijft echter erg actief, zoals Locky. Nu laat naast Locky dus ook de ransomwarevariant Crysis een grote activiteit zien.
Geavanceerde versleuteling
Crysis gebruikt geavanceerde versleutelingsalgoritmen en een schema dat snelle ontsleuteling zeer lastig maakt. De verspreiding vindt hoofdzakelijk plaats via een dropper die via e-mail wordt verstuurd. De aanvallers geven deze dropper een dubbele extensie mee, waardoor het lijkt alsof het gaat om een niet-uitvoerbaar bestand. Een andere strategie is het verpakken van de dropper in ogenschijnlijk onschuldige installatiebestanden van bekende applicaties. Aanvallers verspreiden deze via diverse gedeelde netwerken en online locaties.
Door aanpassingen te maken in het Windows-register weet Crysis zich stevig in systemen te verankeren. Eenmaal opgestart versleutelt het alle aanwezige bestanden, ook die zonder extensie. Alleen strikt noodzakelijke systeembestanden worden ongemoeid gelaten. De trojan verzamelt vervolgens de computernaam en een aantal bestanden en verstuurt deze naar een door de aanvaller beheerde server. Op sommige Windows-systemen probeert Crysis zichzelf te starten met beheerrechten, waardoor het nog meer bestanden kan versleutelen.
Losgeld: 400 tot 900 euro
Zodra data van slachtoffers is versleuteld laat de ransomware een tekstbestand met de naam 'How to decrypt your files.txt' achter op het bureaublad. In sommige gevallen plaatst het de boodschap ook als bureaubladachtergrond via de afbeelding DECRYPT.jpg. De boodschap bevat onder andere twee e-mailadressen van de afpersers bij wie slachtoffers zich kunnen melden voor meer informatie, zoals de hoogte van het gevraagde bedrag. ESET meldt dat het doorgaans gaat om een bedrag tussen de 400 en 900 euro. Het slachtoffer krijgt de instructie dit bedrag in Bitcoins aan de cybercriminelen over te maken.
ESET meldt overigens ook dat slachtoffers van oudere varianten van Crysis een goede kans hebben hun data terug te krijgen, zonder hiervoor losgeld te betalen. Zij kunnen terecht bij de support desk van ESET voor meer informatie.
Meer over
Lees ook
Proofpoint: APT TA450, MuddyWater gebruikt nieuwe tactieken en richt zich op Israëlische medewerkers
Onderzoekers van Proofpoint nemen sinds kort nieuwe activiteit waar van de aan Iran gelinkte dreigingsactor TA450. Deze dreigingsactor is ook bekend als MuddyWater, Mango Sandstorm en Static Kitten.
Drie trends voor cyberaanvallen in 2024
Allianz: in België blijven Cyberincidenten (bijv. cybercriminaliteit, verstoringen van IT-netwerken en -diensten, malware/ransomware, datalekken, boetes en straffen) het nummer één risico sinds 2018. In Nederland klommen Cyberincidenten vier posities naar de tweede plaats.
DataExpert kondigt overname Avian Digital Forensics aan
DataExpert kondigt de overname aan van Avian Digital Forensics, een Deens bedrijf gespecialiseerd in digitale recherche- en eDiscovery-technologieën. Met de overname van Avian versterkt DataExpert zijn aanwezigheid in de Scandinavische landen.