NoCryptolocker
RECUPERO FILES & DATABASE
Rapid, Arrow, Java e Bip di cosa si tratta?
I miei files sono diventati .rapid .java .bip o .arrow
E' possibile recuperare i files?
Crysis 3.0 e 4.0 sono la nuova versioni del malware originale, Crysis appunto, un'evoluzione di ETA2 ovvero un tipo di malware che limita l'accesso del computer che infetta, richiedendo un riscatto (ransom in Inglese) da pagare per rimuovere la limitazione. Ad esempio alcune forme di ransom ware bloccano il sistema e intimano l'utente a pagare per sbloccare il sistema, altri invece cifrano i file dell'utente chiedendo di pagare per riportare i file cifrati in chiaro.
Crysis cambierà l'estensione dei files in .rapid .arrow .bip o .java a seconda della sua sottoversione ed un'eventuale customizzazione del codice.
Questi ransomware utilizzano un forte algoritmo asimmetrico di cifratura (RSA-2048 e AES-128).
Crysis è un ransomware sono scritto in JS (Javascript). Una volta all’interno del tuo sistema, Windows avvierà il modulo wsscript ed eseguirà lo script. Non verrà condotta alcuna verifica dei codici o scansioni di sicurezza. L’eseguibile .js si connetterà al server C&C (Command&Control) per scaricare la restante parte del ransomware
Quindi cosa posso fare per proteggermi da futuri attacchi di Crysis?
I due consigli che diamo ai nostri clienti per proteggersi da eventuali infezioni sono:
- chiudere immediatamente e su tutte le macchine locali e remote il servizio RDP
- installare il nostro script di protezione contro i ransomware, maggiori info QUI
Dove sono finiti i miei backup? E le macchine virtuali?
A seguito dell'infezione da Mobef vengono cancellati i files .backup e spesso anche eventuali macchine virtuali (VMware, Oracle VM VirtualBox ecc.), le quali vengono avviate e poi cancellate o criptate.
Hai bisogno di recuperare i files? Necessiti di maggiori informazioni?
Al momento è possibile il recupero solo da specifiche versioni di questo malware.
Scrivici a info@recuperafiles.it e per un'analisi ed un preventivo gratuito.
Files con estensione modificata a seguito dell'infezione di Crysis, viene aggiunto il suffisso .rapid .bip o .arrow
Processo di analisi di CrysisRansomware