O ransomware CrySIS é também conhecido como Dharma. Ele é considerado parte de uma família de ransomware que tem evoluído desde 2006. A ameaça está se tornando cada vez mais ativa, com um aumento de cerca de 148% de fevereiro até abril de 2019.

A informação é da agência MalwareBytes. Esse aumento se dá, provavelmente, pelo uso diversificado de ataques. O CrySIS/Dharma, que a MalwareBytes detecta como Ransom.Crysis, tem como alvo os sistemas Windows e é focado em empresas.

Contaminação pelo CrySIS

O CrySIS é distribuído como anexos maliciosos nos emails de spam. Uma curiosidade particular desta família de Ramsonware é que os anexos usam extensões de arquivo duplas. Ou seja, sob as configurações padrão do Windows, eles podem parecer não executáveis, quando na realidade são.

Ele também pode chegar disfarçado como arquivos de instalação de software legítimo, incluindo fornecedores de antivírus. Os operadores do ransomware oferecem esses instaladores inofensivos para vários aplicativos legítimos, como executáveis ​​para download.

Uma vez que o CrySIS infectou um sistema, ele cria entradas de registro para manter a persistência e criptografa quase todos os tipos de arquivos. Ele executa a rotina de criptografia usando um algoritmo que é aplicado a unidades fixas, removíveis e de rede. Antes dessa rotina de criptografia, o ransomwae exclui todos os pontos de restauração do Windows.

Após um ataque bem-sucedido baseado em RDP, a agência relata que antes de executar a carga útil do ransomware, ele desinstala o software de segurança instalado no sistema.

Quando o CrySIS conclui a rotina de criptografia, ele envia uma nota de resgate na área de trabalho para a vítima, fornecendo dois endereços de e-mail que a vítima pode usar para contatar os invasores e pagar o resgate. Os criminosos costumam pedir em troca 1 Bitcoin.