Neslávne známy TeslaCrypt, ktorý bol jedným z mnohých ransomwarov šifrujúcich údaje na infikovaných zariadeniach, skončil so svojou činnosťou pred viac než dvoma týždňami. Aj napriek tomu škodlivé kódy tohto druhu nestratili na sile.
Po vlnách infekcií škodlivými kódmi JS/TrojanDownloader.Nemucod a JS/Danger.ScriptAttachment, ktoré zasiahli aj Slovensko a do infikovaných zariadení sťahovali ransomware Locky, sa zdalo, že práve on preberie územie opustené TeslaCryptom. Štatistiky ESET LiveGrid však hovoria niečo iné. Podľa nich je novým hráčom na trhu Win32/Filecoder.Crysis.
Vo väčšine prípadov sa Crysis distribuuje ako príloha spamových e-mailov, konkrétne použitím dvojitej prípony. Pomocou tejto jednoduchej ale efektívnej metódy sa spustiteľné súbory javia ako nespustiteľné. Ďalší spôsob, ktorý používajú útočníci na šírenie tohto malwaru, je maskovanie škodlivých súborov za neškodné inštalátory legitímnych aplikácií.
Svoju vytrvalosť ukazuje Crysis aj tým, že prestaví hodnoty registrov tak, aby bol spustený po každom štarte. Po spustení zašifruje všetky typy súborov, pričom bez zmeny ponechá len nevyhnutné súbory operačného systému a seba samého. Trójsky kôň zozbiera názov počítača a niekoľko zašifrovaných súborov a pošle ich na vzdialený server, ktorý kontrolujú útočníci. V niektorých verziách operačného systému Windows sa pokúša spúšťať sám seba s administrátorskými právami, čim rozširuje zoznam súborov, ktoré môže zašifrovať.
Po ukončení šifrovania umiestni na pracovnú plochu súbor s názvom How to decrypt your files.txt (Ako si odšifrujete súbory). Prvotná informácia obsahuje len dve e-mailové adresy na útočníkov. Po naviazaní kontaktu dostane obeť inštrukcie aj s výškou výkupného, ktoré sa pohybuje v hodnote od 400 do 900 eur. Obeť ich má uhradiť prostredníctvom digitálnej meny BitCoin. Najlepšou možnou obranou je prevencia. Preto si dávajte pozor na to, aké súbory sťahujete a spúšťate vo svojom systéme.