Приложение-вымогатель Crysis пришло на смену TeslaCrypt

Три недели назад компания ESET рассказала о прекращении операций авторами приложения-вымогателя TeslaCrypt, однако теперь появились сведения о появлении на его месте новой угрозы. Приложение под названием Crysis, первые версии которого были обнаружены в феврале, оказались далеки от идеальных, так что в ESET говорили о возможности взломать приложение и вернуть зашифрованные файлы без выкупа.

К сожалению, того же самого столь уверенно нельзя сказать о последних версия программы. Сильный механизм шифрования Crysis охотится за локальными файлами и файлами с общим доступом, а также содержимым съёмных дисков.

Crysis не разбирается в расширениях файлов и шифрует всё подряд (даже файлы без расширений), кроме собственных файлов и системных файлов Windows. Завершив процесс шифрования, Crysis подключается к командному серверу, отсылает данные компьютера для его дальнейшей идентификации и сообщает количество зашифрованных файлов.

Далее остаётся только поместить на рабочий стол жертв текстовый файл с требованием выкупа и внести изменения в рабочий стол. Большинство вымогателей имеют сайт для внесения денег, но Crysis собственным сайтом обзавестись не успел. Вместо сайта используются два адреса электронной почты из текстового файла и изображение на обоях рабочего стола.

ESET говорит, что сумма выкупа составляет $450 до $1000. Платежи производятся в биткоинах.