Análisis del ransomware Crysis y herramienta de descifrado

La industria del ransomware avanza, ya sea porque se modifican  antiguos códigos maliciosos o porque se lanzan nuevos.  Lo que no quedan dudas que es actualmente una de las amenazas que ocupan a los expertos de seguridad.

En esta ocasión, los amigos de WeliveSecurity -en una impecable disección- analizan a CRYSIS; un ransomware que anotan como una clase de código malicioso del tipo Filecoder,  que emplea los cifrados  RSA y AES  para cifrar la información.  Como en casi todos los ransomware, el  objetivo es solicitar el pago de una suma de dinero a cambio de las llaves para recuperar la información.

En cuanto a los medios de propagación, Crysis utiliza diversos vectores de infección que van desde el e-mail hasta las redes sociales.

Por otra parte, los expertos nos dejan gratuitamente la  herramienta para descifrar los archivos y recuperar la información de aquellos que pudieran verse afectados.

---

---

Algunas características de Crysis

El ransomware no es más ni menos que un archivo ejecutable que no se encuentra protegido por un packer, lo cual se puede comprobar fácilmente en la cabecera del archivo:


Haciendo un análisis estático podemos llegar a identificar algunas de las principales características de esta familia de códigos maliciosos. Una de las primeras acciones que intentará el ransomware es crear copias de sí mismo en los siguientes directorios, para lograr persistir en el equipo:

* C:\Users\Victim\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
* C:\Windows\System32

El primer directorio es utilizado por el sistema operativo para ejecutar todas las aplicaciones que se encuentren dentro de esta carpeta una vez que haya iniciado sesión el usuario. Claro está que de esta manera la amenaza se asegura cifrar archivos recientemente creados.


En el segundo directorio, el ransomware evita que el usuario se dé cuenta de su presencia, ocultándose en una carpeta nativa y esencial de Windows.


Una de las particularidades que tiene Crysis es eliminar las copias de seguridad creadas por el servicio "Volume Shadow Copy Service", aplicación incorporada en Windows desde su versión XP.

En pocas palabras, el servicio VSS tiene como tarea crear copias ocultas (shadow copies) de archivos cada vez que ocurra una variación en el sistema como consecuencia de la instalación o actualización de un software. Como podemos ver en la captura, la amenaza ejecutará en consola una serie de comandos específicos para eliminar el backup, en caso de que hubiese.


A continuación, podremos ver cómo continúa el flujo de ejecución del código malicioso, en donde en las primeras instrucciones se encuentran las llamadas a las funciones antes mencionadas. También observamos que en determinados offset se alojan los strings que utilizará para renombrar los archivos cifrados y, además, una lista de extensiones de archivos, lo cual nos da indicios de cuáles son los buscados por esta amenaza para ser cifrados.


Luego se crearán los archivos con los pasos a seguir para recuperar los archivos, lo cual varía dependiendo del ransomware, pero Crysis utilizará archivos de texto e imágenes para guiar al usuario.


Una de las últimas acciones que realiza la amenaza, luego de cifrar la información del usuario, es enviar información como el nombre del equipo y un código identificador, haciendo uso del protocolo HTTP. Cabe destacar que los sitios a los que se conecta la amenaza son sitios comprometidos, por lo general servidores con alguna versión vulnerable de WordPress.


Herramienta para recuperar los archivos cifrados

En el siguiente enlace se encuentra la No tienes permitido ver los links. Registrarse o Entrar a mi cuenta (gratuita).

Indican los expertos que la tool se desarrolló utilizando las No tienes permitido ver los links. Registrarse o Entrar a mi cuenta recientemente publicadas.

---

La información técnica, imágenes y herramienta tienen fuente en : No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

---

Fui victima de Crysis, encriptó todo lo que se le cruzó. Tuvimos que recuperar todo desde backups.. Por suerte luego al tiempo salió la herramienta para desencriptar (No tienes permitido ver los links. Registrarse o Entrar a mi cuenta) la cual nos fue de gran utilidad.

@No tienes permitido ver los links. Registrarse o Entrar a mi cuenta con esa herramienta pudieron desencriptar y recuperar todo?

Saludos,
ANTRAX

@No tienes permitido ver los links. Registrarse o Entrar a mi cuenta "Si"... En realidad esa web lo que te permite es identificar la amenaza, y darte (si se encuentra disponible) la herramienta para desencriptar los datos. En mi caso para Crysis se encuentra el RakhniDecryptor. Una funcionalidad interesante de RakhniDecryptor es que aparte de desencryptar los datos te permite borrar en el mismo paso el archivo encryptado.

Cabe destacar que la herramienta la puede utilizar cualquier persona, es muy util y facil!!

Mil gracias por el dato bro! Lo tendré en cuenta para el próximo equipo que me traigan con algun ransom!

Saludos,
ANTRAX

Tambien esta No tienes permitido ver los links. Registrarse o Entrar a mi cuenta como dato extra Buen post Gabi!

@No tienes permitido ver los links. Registrarse o Entrar a mi cuenta gracias por el dato, siempre sirve tener más de uno!

Gracias por los enlaces, no esta de falta tenerlos en cuenta