Crysis – Nova versão do Vírus que Criptografa Arquivos

Nesse artigo deixaremos mais um alerta sobre o vírus de criptografia de arquivos. Esse vírus vem se atualizando a cada dia e infectando diversos servidores e estações de forma irreversível. Em versões anteriores esse vírus não conseguia criptografar arquivos compactados e extensões de backups .vhd, mas agora ele está conseguindo.

Segue abaixo algumas orientações de segurança para você se proteger do CRYSIS:

  1. Manter permissões dos usuários como “Usuário de Domínio”;
  2. Manter Firewall do Windows habilitado;
  3. Impedir instalação de programas;
  4. Criar uma política de senha mais complexa em sua organização para todos os usuários;
  5. Criação GPO para impedir modificações no “AppData”;
  6. Revisar portas abertas para serviços externos e internos;
  7. Manter Windows atualizado;
  8. Desabilitar compartilhamento de arquivos em Nics de Internet.
  9. E o mais importante: Montar uma palestra ou documentação alertando todos usuários de sua organização sobre acesso aos e-mails e procedimentos básicos de segurança.

Alertar os usuários pode fazer muita diferença. Pode levar pouco tempo e pode ajudar em sua administração.

Vamos ver agora avisos desse novo vírus Crysis:

Veja a imagem que será encontrada na máquina que está infectada, geralmente é encontrada no desktop do usuário ou na raz do c:.

Decryption instructionsVeja o que o vírus faz em os atalhos das ferramentas administrativas e deixando o administrador totalmente sem acesso:

1

Um arquivo de texto é criado com o nome “Decryption Intructions” com a seguinte mensagem:

Teste efetuados:

  1. Enviamos um e-mail para [email protected] para sabermos o que aconteceria e o mesmo não foi entregue.
  2. Enviamos para o e-mail alternativo [email protected], e foi retornado a seguinte mensagem abaixo após 1 dia.

1

Esperamos que essas informações sejam úteis para todos os administradores e continuem protegendo suas rede, utilizando backups em locais geográficos diferentes e mantendo um ambiente mais seguro em relação as permissões.

Qualquer informação sobre melhorias a esse artigo, por favor deixem um comentário para ajudarmos todos os profissionais e a comunidade técnica.

Segue outros artigo mais antigos sobre criptografia de arquivos:

Vírus Criptografa Arquivos – CryptoWall || Help Decrypt

Descriptografar Arquivos Roubados – Vírus Cryptowall

Descriptografar Arquivos Infectados – Novo Utilitário Kaspersky

  • Cléio Sousa

    Esses ransomwares estão tirando o sono, qual anti vírus vocês indicam?

  • Raphael Silva

    Fui infectado antes de ontem. Sorte que tinha backup aqui. Engraçado, que não baixei nada, foi no Sábado a tarde, estava editado por um usuário que tinha senha fácil, tenho certeza que foi invasão por RDP.

  • Nelson Junior

    vish.
    um site que recomendo e: https://www.nomoreransom.org
    lá tem várias ferramentas para recuperar os arquivos antigindos por alguns tipos de ransom.

  • Ótimo texto com ótimas dicas, parabéns. Outro ponto que acho interessante ser colocado é que é necessário fazer backup “offline” dos arquivos, esse backup, para isso, eu recomendo que seja em uma maquina fora do domínio e sem acesso a usuários do domínio, exatamente para impedir que algo comprometa os mesmos.
    No caso os meus backups eu faço em uma maquina Linux ou FreeNAS, onde apenas 1 usuário tem permissão de escrita para cada job de backup e esse usuário tem que der diferente ao usuário do computador, para que em um possível update ele fique monitorando os acessos a rede e faça um acesso a pasta compartilhada para o backup e com isso adeus a tudo.

  • rafael bandeira de oliveira

    Como faço para criar a GPO para impedir modificações no “AppData”?

  • Danilo Martins

    Obrigado pelo aviso, e este post vai me ajudar muito a explicar aos outros funcionários o motivo para a segurança e alerta-los sobre e-mails duvidosos.
    Ótimo trabalho !
    Obrigado

    • Vinicius Mozart

      Grande abraço é sempre bom receber esse tipo de feedback.

  • Lucas S. Silveira

    Já existe algum decrypter para essa variante do CrySiS?

  • Leonardo Soares

    Esses ransomwares comprometem o backup do windows também ou não?

    • Vinicius Mozart

      Já vi casos que a unidade com o Windows Server backup esta atuando ficar como RAW. Importante revisar as permissões das unidades de backup.

      • Leonardo Soares

        Quais as suas sugestões? deixar apenas os grupos “Operadores de Cópia” e “Administradores ” com permição total no disco. Tem mais alguma dica importante?

  • José Cobello

    Boa noite Vinicius. Se permite adicionando acredito uma nova interface deste vírus apesar de toda segurança aplicada a servidores nas empresa atendidas por nosso suporte tivemos a triste notícia que tínhamos entrado nesta estatística de servidores Windows 2012 contaminados. Em nosso caso até o momento em dois servidores sendo um AD e outro de arquivos foi completamente contaminado o que até a presente analise estas contaminações apesar de não estarem aparentemente em nenhum terminal deva ter vindo de um terminal onde o mesmo só o utilizou como entrada contaminando estes servidores e criando em todos os arquivos pastas a extensão mmm só que dizimou todas as aplicações. O estranho nisso e que pastas externas e pastas internas de pastas contaminadas que tinham extensões temp e tmp algumas de usuários tinham criado em suas pastas particulares não foram atacadas e nem os arquivos apesar da pasta que a continha ter tudo contaminado. Boa parte das pastas ficaram com uma pasta com um arquivo html onde pedia 12 BITCOM para receber a chave. Curiosidade nossa acredita que esta versão seja parte deste mesmo processo?

    • Vinicius Mozart

      Realmente sempre existem novas versões e muitas coisas mudaram de uns anos pra cá. Existem diversas formas de blindar sua rede tanto externamente, quanto internamente. A utilização de GPO é de extrema importância nesses casos. Revise seu ambiente para blindar contra novas ameaças. Qualquer coisa entre em contato. Grande abraço e boa sorte.