Gridinsoft Logo

Crysis (Dharma)

Postado: May 21, 2024
from Glossário de Cibersegurança
Sinônimos:
CrySiS, Dharma, Ransom.Crysis, Win32:Malware-gen, Dropped:Generic.Ransom.Crysis.A6C1BB89, Win32/Filecoder.Crysis.H, HEUR:Trojan.Win32.Generic, Ransom:Win32/Troldesh.C
Sinônimos:
Ransomware
Plataforma:
Windows
Variantes:
.wallet, .arena, .cobra, .java, .arrow, .cmb, .gamma, .brrr, .btc, .onion, .xtbl, .xwx, .viper1, .write, .bip, .taurus, .monro, .phobos, .adobe, .aes256, .combo, .bkp, .shadow
Dano:
Roubo de Dados, Perda de Dados, Extorsão de Dinheiro, Funções do Sistema Comprometidas
Nível de Risco:
Very High!

O ransomware Crysis e suas variantes estão ativos desde 2016. Eles geralmente entram em sistemas através de portas de Protocolo de Desktop Remoto (RDP) expostas. Ao ganhar acesso, o Crysis se instala, procura por extensões de arquivos específicas como documentos, imagens e bancos de dados, criptografa-os e então exige um resgate.

Possíveis Sintomas

  • Modificações incomuns em arquivos do sistema ou arquivos criptografados com extensões desconhecidas.
  • Travamentos frequentes do sistema ou desaceleração durante o acesso a arquivos.
  • Aparecimento de notas de resgate ou mensagens exigindo pagamento para chaves de descriptografia.
  • Aumento do tráfego de rede, especialmente nas portas RDP, indicando potencial infiltração.

Fontes da Infecção

  • Portas de Protocolo de Desktop Remoto (RDP) expostas fornecem um ponto de entrada comum para infecções por Crysis.
  • Emails de phishing e anexos maliciosos direcionados aos usuários do sistema para iniciar a carga útil do ransomware.
  • Exploração de vulnerabilidades em software desatualizado, particularmente aquelas relacionadas ao RDP e à segurança do sistema.
  • Sites comprometidos ou maliciosos hospedando kits de exploração projetados para entregar cargas úteis do Crysis ao visitar.
  • Propagação dentro de redes locais através de movimentação lateral, explorando configurações fracas de segurança de rede.

Visão Geral

O ransomware Crysis, também conhecido como CrySiS, Dharma, Ransom.Crysis, Win32:Malware-gen e vários outros aliases, representa uma ameaça significativa com uma classificação de perigo de 5. Este tipo de ransomware, ativo desde 2016, infiltra sistemas através de portas de Protocolo de Desktop Remoto (RDP) expostas, permitindo que ele se instale e inicie atividades maliciosas.

Ao ganhar acesso, o Crysis tem como alvo extensões de arquivos específicas, incluindo documentos, imagens e bancos de dados. Ele criptografa esses arquivos, tornando-os inacessíveis aos usuários. O ransomware então exige pagamento para chaves de descriptografia, com danos potenciais incluindo roubo de dados, perda de dados, extorsão de dinheiro e funções do sistema comprometidas.

Reconhecer infecções por Crysis envolve observar sintomas como modificações incomuns em arquivos do sistema, arquivos criptografados com extensões desconhecidas, travamentos frequentes do sistema durante o acesso a arquivos e o aparecimento de notas de resgate exigindo pagamento. Aumento do tráfego de rede, particularmente nas portas RDP, também pode indicar potencial infiltração.

As fontes de infecções por Crysis incluem portas RDP expostas, emails de phishing com anexos maliciosos, vulnerabilidades em software desatualizado (especialmente relacionadas ao RDP e à segurança do sistema), sites comprometidos hospedando kits de exploração, e propagação dentro de redes locais através de movimentação lateral explorando configurações fracas de segurança de rede.

Se você suspeitar que seu sistema está infectado com o ransomware Crysis, tome ação imediata isolando o sistema infectado da rede, identificando a variante e o algoritmo de criptografia, evitando o pagamento do resgate, utilizando o Gridinsoft Anti-Malware para remoção e restaurando os arquivos a partir de um backup feito antes da infecção ocorrer.

Prevenir infecções por Crysis requer medidas proativas, incluindo atualização regular do sistema operacional e software para corrigir vulnerabilidades, uso de senhas fortes e únicas, habilitação da autenticação de dois fatores para RDP e sistemas críticos, emprego de segmentação de rede para limitar o impacto de violações, backup regular de dados críticos com armazenamento offline e educação dos usuários sobre emails de phishing e links suspeitos para evitar instalações inadvertidas de malware.

🤔 O Que Fazer?

Se você suspeitar que seu sistema está infectado com o ransomware Crysis:

  1. Isole o sistema infectado da rede para evitar maior disseminação.
  2. Identifique a variante do Crysis e seu algoritmo de criptografia, se possível.
  3. Não pague o resgate, pois isso não garante a recuperação dos arquivos e apoia atividades criminosas.
  4. Use o Gridinsoft Anti-Malware para escanear e remover o ransomware.
  5. Restaure os arquivos a partir de um backup feito antes da infecção ocorrer.

🛡️ Prevenção

Para prevenir infecções por ransomware Crysis:

  • Atualize regularmente seu sistema operacional e todos os softwares para corrigir vulnerabilidades.
  • Use senhas fortes e únicas e habilite a autenticação de dois fatores (2FA) para RDP e outros sistemas críticos.
  • Empregue segmentação de rede para limitar o impacto de uma potencial violação.
  • Faça backup de dados críticos regularmente e armazene os backups offline para evitar a criptografia pelo ransomware.
  • Eduque os usuários sobre emails de phishing e links suspeitos para evitar instalações inadvertidas de malware.

Gridinsoft Anti-Malware

Cure seu PC de qualquer tipo de malware

GridinSoft Anti-Malware irá ajudá-lo a proteger seu computador contra spyware, trojans, backdoors, rootkits. Ele limpa seu sistema de módulos de propaganda irritantes e outras coisas maliciosas desenvolvidas por hackers.

Anti-Malware Baixar agora
Gridinsoft Anti-Malware