Crysis – Nova versão do Vírus que Criptografa Arquivos

Nesse artigo deixaremos mais um alerta sobre o vírus de criptografia de arquivos. Esse vírus vem se atualizando a cada dia e infectando diversos servidores e estações de forma irreversível. Em versões anteriores esse vírus não conseguia criptografar arquivos compactados e extensões de backups .vhd, mas agora ele está conseguindo.

Segue abaixo algumas orientações de segurança para você se proteger do CRYSIS:

  1. Manter permissões dos usuários como “Usuário de Domínio”;
  2. Manter Firewall do Windows habilitado;
  3. Impedir instalação de programas;
  4. Criar uma política de senha mais complexa em sua organização para todos os usuários;
  5. Criação GPO para impedir modificações no “AppData”;
  6. Revisar portas abertas para serviços externos e internos;
  7. Manter Windows atualizado;
  8. Desabilitar compartilhamento de arquivos em Nics de Internet.
  9. E o mais importante: Montar uma palestra ou documentação alertando todos usuários de sua organização sobre acesso aos e-mails e procedimentos básicos de segurança.

Alertar os usuários pode fazer muita diferença. Pode levar pouco tempo e pode ajudar em sua administração.

Vamos ver agora avisos desse novo vírus Crysis:

Veja a imagem que será encontrada na máquina que está infectada, geralmente é encontrada no desktop do usuário ou na raz do c:.

Decryption instructionsVeja o que o vírus faz em os atalhos das ferramentas administrativas e deixando o administrador totalmente sem acesso:

1

Um arquivo de texto é criado com o nome “Decryption Intructions” com a seguinte mensagem:

  • All of your files are encrypted, to decrypt them write me to email: mailrepa.lotos@aol.com, or alternative mail: goldman0@india.com

Teste efetuados:

  1. Enviamos um e-mail para mailrepa.lotos@aol.com para sabermos o que aconteceria e o mesmo não foi entregue.
  2. Enviamos para o e-mail alternativo goldman0@india.com, e foi retornado a seguinte mensagem abaixo após 1 dia.

1

Esperamos que essas informações sejam úteis para todos os administradores e continuem protegendo suas rede, utilizando backups em locais geográficos diferentes e mantendo um ambiente mais seguro em relação as permissões.

Qualquer informação sobre melhorias a esse artigo, por favor deixem um comentário para ajudarmos todos os profissionais e a comunidade técnica.

Segue outros artigo mais antigos sobre criptografia de arquivos:

Vírus Criptografa Arquivos – CryptoWall || Help Decrypt

Descriptografar Arquivos Roubados – Vírus Cryptowall

Descriptografar Arquivos Infectados – Novo Utilitário Kaspersky

  • Cléio Sousa

    Esses ransomwares estão tirando o sono, qual anti vírus vocês indicam?

  • Raphael Silva

    Fui infectado antes de ontem. Sorte que tinha backup aqui. Engraçado, que não baixei nada, foi no Sábado a tarde, estava editado por um usuário que tinha senha fácil, tenho certeza que foi invasão por RDP.

  • Nelson Junior

    vish.
    um site que recomendo e: https://www.nomoreransom.org
    lá tem várias ferramentas para recuperar os arquivos antigindos por alguns tipos de ransom.

  • Ótimo texto com ótimas dicas, parabéns. Outro ponto que acho interessante ser colocado é que é necessário fazer backup “offline” dos arquivos, esse backup, para isso, eu recomendo que seja em uma maquina fora do domínio e sem acesso a usuários do domínio, exatamente para impedir que algo comprometa os mesmos.
    No caso os meus backups eu faço em uma maquina Linux ou FreeNAS, onde apenas 1 usuário tem permissão de escrita para cada job de backup e esse usuário tem que der diferente ao usuário do computador, para que em um possível update ele fique monitorando os acessos a rede e faça um acesso a pasta compartilhada para o backup e com isso adeus a tudo.

  • rafael bandeira de oliveira

    Como faço para criar a GPO para impedir modificações no “AppData”?

  • Danilo Martins

    Obrigado pelo aviso, e este post vai me ajudar muito a explicar aos outros funcionários o motivo para a segurança e alerta-los sobre e-mails duvidosos.
    Ótimo trabalho !
    Obrigado

  • Lucas S. Silveira

    Já existe algum decrypter para essa variante do CrySiS?

  • Leonardo Soares

    Esses ransomwares comprometem o backup do windows também ou não?

    • Vinicius Mozart

      Já vi casos que a unidade com o Windows Server backup esta atuando ficar como RAW. Importante revisar as permissões das unidades de backup.