Теперь семейство троянцев-шифровальщиков Crysis представляет собой меньшую угрозу: в воскресенье в открытом доступе были опубликованы мастер-ключи шифрования.

Исследователи «Лаборатории Касперского» сообщили, что уже включили новые ключи в дешифратор Rakhni и теперь жертвы второй и третьей итерации Crysis имеют возможность расшифровать свои файлы.

Ключи были выложены в час ночи по времени Восточного побережья США на форуме BleepingComputer.com, посвященном поддержке пострадавших от Crysis пользователей, посетителем под ником crss7777. По словам основателя ресурса Лоуренса Абрамса (Lawrence Abrams), это мог быть сам разработчик шифровальщика. Неизвестный приложил ссылку на Pastebin, где содержался файл заголовка на языке C; в нем были мастер-ключи и инструкции к их использованию.

«Хотя личность crss7777 неизвестна, глубокие познания о структуре мастер-ключей и публикация ключей в формате заголовочного файла на C могут указывать на то, что этот пользователь имеет отношение к разработке вымогателя Crysis, — сказал Абрамс. — Неизвестно, почему он решил опубликовать ключи; возможно, сыграли роль активизация оперативных действий со стороны правоохранительных органов и сотрудничество последних с ИБ-экспертами».

Crysis появился в феврале, о чем тогда сообщила компания ESET. Эксперты ESET сказали, что вымогатель быстро приобрел популярность среди хакеров из-за публикации дешифратора другого популярного вымогателя — TeslaCrypt. Crysis распространяется через email-рассылки, содержащие вредоносное вложение с двойным расширением файла, а также через вредоносные ссылки. Также зловред был обнаружен в троянизированных версиях бесплатного ПО (например, архиватора WinRAR). Как и большинство вымогателей, он  способен зашифровать большое количество форматов, а также может добраться до файлов, хранящихся на съемных накопителях. Зашифрованные Crysis файлы имеют расширение .xtbl, а к имени файла прибавляется email-адрес (например, [filename].id-[id].[email_address].xtbl), рассказали в BleepingComputer.

По данным «Лаборатории Касперского», Crysis ответственен за 1,15% всех заражений шифровальщиками в этом году. В основном зловред атакует жителей России, Японии, Южной и Северной Кореи и Бразилии.

В этом году были расшифрованы ряд распространенных семейств вымогателей, в том числе CryptXXX, TeslaCrypt, Chimera, Jigsaw и другие.

Программы-вымогатели — одна из наиболее опасных угроз года; атакам подверглись большие организации в различных отраслях экономики, что значительно повлияло на качество обслуживания клиентов. Ряд масштабных атак на больницы и предприятия ЖКХ поднял важный вопрос о том, стоит ли платить выкуп злоумышленникам, если отказ подвергает угрозе здоровье и жизни людей.

ФБР уже выпустило несколько предупреждений об опасности вымогателей, призывая компании проявлять максимальную осторожность: вовремя закрывать уязвимости, через которые при помощи эксплойт-паков может проникнуть шифровальщик, а также распознавать email-кампании, направленные на распространение вымогателей.

«Неспособность подобных организаций защитить от атак критически важные данные может привести к катастрофическим последствиям — например, к финансовым убыткам, сбоям в ежедневной работе и репутационному ущербу», — сказали в ФБР.

В сентябре ФБР публично призвало организации, ставшие жертвами ransomware-атак, предоставлять бюро отчеты о подобных инцидентах — например, информацию о том, как инфекция попала в систему, о понесенных убытках или о биткойн-кошельке злоумышленников.

Категории: Вредоносные программы, Главное, Кибероборона