Crysis ransomware verspreidt zich in hoog tempo
De geavanceerde ransomwarevariant Crysis verspreidt zich momenteel in een hoog tempo. Deze malware versleutelt niet alleen data op lokale schijven, maar ook op verwisselbare schijven en gekoppelde netwerkdrives.
Hiervoor waarschuwen onderzoekers van beveiligingsbedrijf ESET na analyse van gegevens van het ESET LiveGrid-cloudplatform. Het beruchte TeslaCrypt werd onlangs op non-actief gesteld. ESET stelde een tool beschikbaar waarmee slachtoffers van TeslaCrypt hun gegevens kosteloos konden ontsleutelen. Andere ransomware blijft echter erg actief, zoals Locky. Nu laat naast Locky dus ook de ransomwarevariant Crysis een grote activiteit zien.
Geavanceerde versleuteling
Crysis gebruikt geavanceerde versleutelingsalgoritmen en een schema dat snelle ontsleuteling zeer lastig maakt. De verspreiding vindt hoofdzakelijk plaats via een dropper die via e-mail wordt verstuurd. De aanvallers geven deze dropper een dubbele extensie mee, waardoor het lijkt alsof het gaat om een niet-uitvoerbaar bestand. Een andere strategie is het verpakken van de dropper in ogenschijnlijk onschuldige installatiebestanden van bekende applicaties. Aanvallers verspreiden deze via diverse gedeelde netwerken en online locaties.
Door aanpassingen te maken in het Windows-register weet Crysis zich stevig in systemen te verankeren. Eenmaal opgestart versleutelt het alle aanwezige bestanden, ook die zonder extensie. Alleen strikt noodzakelijke systeembestanden worden ongemoeid gelaten. De trojan verzamelt vervolgens de computernaam en een aantal bestanden en verstuurt deze naar een door de aanvaller beheerde server. Op sommige Windows-systemen probeert Crysis zichzelf te starten met beheerrechten, waardoor het nog meer bestanden kan versleutelen.
Losgeld: 400 tot 900 euro
Zodra data van slachtoffers is versleuteld laat de ransomware een tekstbestand met de naam 'How to decrypt your files.txt' achter op het bureaublad. In sommige gevallen plaatst het de boodschap ook als bureaubladachtergrond via de afbeelding DECRYPT.jpg. De boodschap bevat onder andere twee e-mailadressen van de afpersers bij wie slachtoffers zich kunnen melden voor meer informatie, zoals de hoogte van het gevraagde bedrag. ESET meldt dat het doorgaans gaat om een bedrag tussen de 400 en 900 euro. Het slachtoffer krijgt de instructie dit bedrag in Bitcoins aan de cybercriminelen over te maken.
ESET meldt overigens ook dat slachtoffers van oudere varianten van Crysis een goede kans hebben hun data terug te krijgen, zonder hiervoor losgeld te betalen. Zij kunnen terecht bij de support desk van ESET voor meer informatie.
Meer over
Lees ook
NetApp bestrijdt in realtime ransomware
NetApp biedt nieuwe mogelijkheden waarmee klanten hun data beter kunnen beschermen en herstellen tegen bedreigingen door ransomware. NetApp is één van de eerste die kunstmatige intelligentie (AI) en machine learning (ML) direct in de primaire storage van bedrijven integreert en zo ransomware in real-time bestrijdt. De cyberresiliency-oplossingen v1
Ongebruikelijke aanvalsketen TA577 veroorzaakt NTLM-datadiefstal
Proofpoint identificeerde vorige week een nieuwe aanvalsketen van TA577 die NT LAN Manager authenticatie-informatie steelt. Het cybersecurity bedrijf identificeerde minstens twee campagnes die dezelfde techniek gebruikten voor het stelen van NTLM hashes op 26 en 27 februari 2024.
Vooruitblik 2024 E-Storage: Waarom zou je Bitcoins betalen?
2023 kunnen we zien als een kantelpunt. Waar organisaties zich tot nu toe vooral hebben gericht op de preventie van cyberaanvallen, is bij velen nu het bewustzijn gegroeid dat dit niet meer voldoende is.