Çoklu Lisans İndirim Teklifi

Bölge değiştir

English Dansk Deutsch Español Français Italiano Nederlands Polski Português Svenska Türkçe Русский हिन्दी 日本語 汉语 漢語 한국어
Tehdit Veritabanı Fidye yazılımı Crysis Fidye Yazılımı

Crysis Fidye Yazılımı

CagedTech'de Fidye yazılımı'de
Çevir:

Tehdit Puan Kartı

Popularity Rank: 18,127
Tehlike seviyesi: 100 % (Yüksek)
Etkilenen Bilgisayarlar: 36,681
İlk görüş: February 19, 2016
Son görülen: February 19, 2026
Etkilenen İşletim Sistemleri: Windows

Crysis Ransomware, virüslü bilgisayarlardaki dosyaları kilitleyen ve ardından şifre çözme anahtarı karşılığında fidye talep eden bir kötü amaçlı yazılım tehdididir. Crysis tarafından şifrelenen dosyalar kullanıcı için erişilemez hale gelir ve kötü amaçlı yazılım kurbanın bilgisayarındaki dosyaları şifrelemek için karmaşık bir yöntem kullandığından, içlerinde depolanan veriler neredeyse hiç kurtarılamaz. Bu enfeksiyonun yan etkileri, aynı zamanda, bilgisayarın genel olarak yavaş bir performansının yanı sıra bazı araç ve uygulamaların düzgün çalışmamasıdır. Crysis fidye yazılımı yalnızca Windows işletim sistemini çalıştıran bilgisayarları etkiler ve ilk kez Mart 2016'da ortaya çıktı. O zamandan beri, siber güvenlik araştırmacıları bu tehlikeli fidye yazılımının birçok farklı türevini ve sürümünü belirlediler ve bazıları aşağıdakiler gibi diğer önemli tehditlere güçlü bir şekilde benzediği için Dharma ve Arena fidye yazılımı, uzmanlar tüm bu tehditleri Crysis/Dharma Ransomware ailesi olarak adlandırmaya karar verdi. Ailedeki diğer kötü amaçlı yazılımlar gibi, Crysis de şifrelenmiş dosyalara belirli bir uzantı ekler, ancak uzantılar, kötü amaçlı yazılımın hangi belirli varyantının bilgisayara bulaştığına bağlı olarak değişir.

Genişletilmiş kötü amaçlı yetenekleri nedeniyle, Crysis keşfedildikten sonra mümkün olan en kısa sürede kaldırılmalıdır ve PC güvenlik uzmanları, siber suçlularla asla iletişim kurmamanızı ve size gerçekten göndereceklerinin garantisi olmadığı için gerekli fidyeyi asla ödememenizi tavsiye eder. vaat edilen şifre çözme anahtarı. Crysis fidye yazılımının dağıtım kanalları da yıllar içinde gelişti. Başlangıçta, kötü niyetli ekler ve bozuk bağlantılar içeren spam e-postalar bu tehlikeli fidye yazılımının ana dağıtım aracı olsa da, şu anda saldırganlar saldırıları gerçekleştirmek için sosyal mühendislik tekniklerine güvenmiyor.

Dağıtım Yolları

Eylül 2016'dan bu yana Crysis, ağırlıklı olarak zayıf korunan Uzak Masaüstü Protokolleri (RDP'ler) aracılığıyla dağıtılıyor ve bu tür ilk saldırılar Avustralya ve Yeni Zelanda'da kaydedildi. Saldırganlar bu kanal üzerinden bir bilgisayarı hacklemek için önce interneti korumasız RDP'ler için tarar ve ardından sisteme yönetici erişimi için gerekli Windows şifresini kırarak bunlara 3389 numaralı bağlantı noktasından bağlanır. Ardından, kötü amaçlı yazılımı hedef sisteme manuel olarak yüklerler, böylece kötü amaçlı komut dosyasını, saldırıya uğramış bilgisayara bağlı tüm diğer çevresel aygıtlarda ve aynı ağa bağlı diğer bilgisayarlarda da çalıştırabilirler.

Crysis ailesinden fidye yazılımları başlangıçta çoğunlukla bireysel PC kullanıcılarını hedef aldı, ancak Şubat ayının başından bu yana siber güvenlik araştırmacıları, kötü amaçlı yazılım ailesinin geliştirilmesinde yeni bir eğilim belirledi. Saldırı sayısındaki şaşırtıcı büyüme ve fidye yazılımının dünya çapında genişlemesinin yanı sıra, saldırganlar stratejilerini de değiştirdiler ve şu anda esas olarak büyük şirketleri ve büyük kurumları hedef alıyorlar. Bu amaçla, açık RDP bağlantı noktalarını tararken, bilgisayar korsanları artık belirli bir ağa bağlı bilgisayarların kurumsal bilgisayar olup olmadığını bulmaya çalışıyor ve bu durumda saldırıya devam etme olasılıkları daha yüksek. Mantıksal olarak, bu değişikliğin nedeni, şirketlerin verilerini geri almak için daha yüksek miktarda fidye ödemesi olasılığıdır.

Teknik veri

Daha önce de belirtildiği gibi, kötü amaçlı yazılım hedef makineye manuel olarak yüklenir. Ancak, asıl kurulumdan önce ve şifreleme sürecinin başlamasından önce, fidye yazılımı sahipleri, kurbanın faaliyetlerini izleyebilecekleri bazı keylogging programları bırakırlar ve genel sistem verilerinin yanı sıra belirli bir kullanıcıyla ilgili kişisel verileri toplarlar. Tam olarak bu tür kimlik bilgileri toplama ve izleme faaliyetleri yoluyla, bilgisayar korsanları saldırının kapsamını genişletebilir ve aynı ağa bağlı diğer cihazları veya kaynakları tehlikeye atabilir. Aynı zamanda, toplanan veriler, bilgisayar korsanlarının, kurbanlarının bireysel bir kullanıcı mı yoksa bir şirket mi olduğuna bağlı olarak, gerekli fidye miktarını özelleştirmelerine de olanak tanır. Sonuç olarak, örneğin Crysis fidye yazılımı varyantı büyük bir şirket ağına çarptıysa bu miktar binlerce dolara ulaşabilir.

Kurulumdan sonra, fidye yazılımı tarafından gerçekleştirilen ilk eylemler arasında, Windows kayıt defterinde kendi başlangıç anahtarlarını ve kodunun kopyalarını C:\Windows\System32, C:\Program Data gibi yasal Windows dosyalarını içeren klasörlerde oluşturmak yer alır. , C:\Program Files ve C:\Users\Programs\Startup. Bu, kötü amaçlı yazılımın kalıcılığını sağlamak ve yakın zamanda oluşturulan dosyaların şifrelenmesine izin vermek için yapılır. Crysis'e ait kötü amaçlı dosyalar, işlemler ve kayıt defteri anahtarları rastgele farklı adlara sahip olabilir, bu nedenle onları hemen tanımak ve Windows işletim sistemine ait meşru nesneden ayırt etmek zordur. Bu fidye yazılımının kaldırılmasının genellikle profesyonel bir kötü amaçlı yazılım temizleme aracı gerektirmesinin nedenlerinden biri de budur.

Crysis rutinindeki bir sonraki adım, virüslü bilgisayarın sabit diskindeki tüm dosyaları tarayarak, bunları şifrelemeye uygun dahili bir dosya listesiyle karşılaştırmaktır. Hemen hemen tüm popüler dosya biçimleri bu listeye dahil edilmiştir ve kötü amaçlı yazılımın herhangi bir biçimde değerli kullanıcı verileri içerebilecek tüm dosyaları tanımlamayı ve şifrelemeyi başarmasını sağlar. Ayrıca, Crysis, en son sürümleri, uzantısız sistem dosyaları ve yürütülebilir dosyalar da dahil olmak üzere, virüslü makinedeki neredeyse her dosyayı şifreleyebildiği ve dosya konumu ne olursa olsun - açık olduğu için gerçek bir yüksek profilli fidye yazılımı tehdidine dönüştü. sabit, çıkarılabilir veya ağ bağlantılı sürücüler. Bu, diğer fidye yazılımı vakalarında daha önce görülmemiş bir şey ve Crysis/Dharma fidye yazılımı ailesinin korkunç kötü niyetli yeteneklerini kanıtlıyor. Crysis fidye yazılımı tarafından kullanılan şifreleme motoruna gelince, tüm fidye yazılımı ailesi için tipik olan Crysis, özel anahtarın bilgisayar korsanlarının sunucusunda saklanmasıyla birlikte RSA şifrelemesi ve AES-128 şifreleme algoritmalarının bir karışımını kullanır. 2016'da ilk ortaya çıkışından bu yana Crysis ailesinden gelen farklı fidye yazılımı tehditleri, şifrelenmiş dosyalara farklı uzantılar ekledi. İlk sürümden itibaren kronolojik bir sırayla bu uzantılar şunlardır: .crysis, .dharma, .wallet, .onion, .arena, .cobra, ,java, .arrow, .bip, .cmb, .brr, . gamma, .bkp, .monro, .boost, .adobe, .cccmn, .AUDIT, .tron. Bu yıl Kasım ayının ortalarında tespit edilen Crysis'in en son sürümü kilitli dosyalara .Back ve .Bear uzantılarını eklerken, bazı durumlarda şifreli dosyaların adına saldırganların iletişim adresleri de ekleniyor. Her virüslü kullanıcı için ayrı ayrı oluşturulan benzersiz bir kurban kimliği olarak.

Şifreleme tamamlandıktan sonra Crysis, kötü amaçlı yazılım sahiplerinin kurbanla nasıl iletişime geçeceğini ve fidyenin nasıl ödenmesi gerektiğini açıkladığı metin dosyaları biçiminde fidye notları oluşturur. Kötü amaçlı yazılım genellikle fidye notu için iki dosya oluşturur - otomatik olarak açılan ve kullanıcının varsayılan masaüstü görüntüsünün yerini alan bir HTML dosyası ve masaüstüne ve bazı durumlarda virüslü herhangi bir klasöre yerleştirilen bir TXT dosyası. Bu fidye notu dosyaları Help_Decrypt_FILES.html, Help_Decrypt_FILES.txt, info.hta, Dosyalar şifreli!!.txt olarak adlandırılabilirken, fidye notunun kendisi aşağıdakileri belirtir:

"Dikkat! Bilgisayarınıza virüs kodlayıcı saldırdı.
Tüm dosyalarınız kriptografik olarak güçlü bir şekilde şifrelenir, orijinal anahtar olmadan kurtarma imkansızdır! Kod çözücüyü ve orijinal anahtarı almak için bize e-posta:dalailama2015@protonmail.ch adresine kimliğinizi belirterek "encryption" konusu yazmanız gerekir.
Davaya yazın, boş tehditlerle sizin ve bizim zamanımızı boşa harcamayın.
Sadece uygun kişilerden gelen mektuplara verilen yanıtları görmezden gelmek yeterli değildir.
Not, yalnızca ilk e-posta adresinden 48 saat içinde yanıt almazsanız, lütfen goldman0@india.com alternatif e-postasını kullanın."

Araştırmalar Crysis fidye notunda verilen iki e-posta adresinin Çek Cumhuriyeti ve Hindistan'da bulunan alan adlarına ait olduğunu gösteriyor, ancak bu durumdan kötü amaçlı yazılımın da bu ülkelerden geldiği sonucuna varılamaz. 2017'nin sonlarında ortaya çıkan bir sürüm, kurbanlarına ödeme talimatları için farklı bir e-posta adresi olan cranbery@colorendgrace.com ile iletişim kurmalarını söylüyor. Kötü amaçlı yazılımın kurbanlarıyla iletişim kurmak için kullandığı diğer bilinen adresler şunlardır: Decryptallfiles@india.com, Tree_of_life@india.com, mailrepa.lotos@aol.com, Guardware@india.com.

Mayıs 2017'den önce yayınlanan belirli sürümler için ücretsiz şifre çözme araçları yayınlanmıştır, diğer türevlerde ise şifrelenmiş dosyaların yalnızca yedeklerden kurtarılabilmesi nadir değildir. Bu, Crysis'in gerçekleştirebildiği başka bir kötü amaçlı etkinlikten gelir - Gölge Birim Kopyalarını ve Sistem Geri Yükleme Noktalarını kaldırmak için programlanabilir, böylece şifrelenmiş verilerin profesyonel bir yedekleme kurtarma çözümü olmadan kurtarılması imkansız hale gelir. Bu kötü amaçlı yazılım ayrıca, virüslü bilgisayarda ek Truva atları ve diğer tehditleri de dağıtarak, örneğin saldırganların tüm kullanıcı etkinliklerini gerçek zamanlı olarak gözetlemesine olanak tanır. Crysis fidye yazılımı tarafından atılan popüler kötü amaçlı yükler arasında kripto para madencileri, keylogger'lar ve diğer virüsler de bulunuyor.

Önleme ve Uzaklaştırma Teknikleri

Crysis fidye yazılımının bulaşmasını önlemek için bilgisayarınızın iletişim kanalları için güçlü parolalar kullanmanız önerilir. Ayrıca kullanıcılara, güvenlik duvarını etkinleştirmek ve sistemlerini her an güncel tutmak için güvenilir bir kötü amaçlı yazılımdan koruma programı yüklemeleri önerilir. Crysis fidye yazılımı bulaşması, kötü niyetli içerik içerebilen şüpheli web sitelerinden kaçınmayı, bilinmeyen göndericilerden gelen e-posta eklerini yok saymayı ve yalnızca yetkili kaynaklardan dosya, program ve yazılım güncellemelerini indirmeyi içeren İnternet'teki sorumlu ve güvenli davranışlarla da önlenebilir. Tüm önemli verilerin düzenli olarak yedeklenmesi de bir zorunluluktur, çünkü bazen böyle bir fidye yazılımı tehdidi tarafından kilitlenen dosyaların kötü amaçlı yazılım sistemden kaldırıldıktan sonra kurtarılabilmesinin tek yolu budur.

Bir bilgisayara Crysis bulaştıktan sonra, profesyonel bir temizleme aracı olmadan onu kaldırmaya çalışmanız önerilmez. Bu tür kötü amaçlı yazılımlar, kötü amaçlı dosyalarını Windows işletim sisteminin çekirdeğine bırakarak önemli yasal Windows uygulamalarını ve işlemlerini etkiler ve deneyimsiz bir kullanıcının bilgisayarın normal işlemlerine müdahale etmeden bunları bulmasını ve silmesini zorlaştırır. Bilgisayarınızı Crysis fidye yazılımından tamamen temizlemek çok önemlidir, çünkü kötü amaçlı yazılımın bir kısmı sistemde kalırsa dosyaları kolayca yeniden şifrelemeye başlayabilir.

Crysis Ransomware bir bilgisayara girdiğinde, şifrelenecek dosyaları aramak için etkilenen sabit sürücüleri tarar. Yapılandırma ayarlarında Crysis Ransomware, aradığı dosya uzantılarının bir listesini içerir. Crysis Ransomware saldırısı sırasında şifrelenen yaygın dosya türleri şunları içerir:

.odc, .odm, .odp, .ods, .odt, .docm, .docx, .doc, .odb, .mp4, sql, .7z, .m4a, .rar, .wma, .gdb, .tax, .pkpass, .bc6, .bc7, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf, .bkp, .qic, .bkf , .sidn, .sidd, .mddata, .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, . itm, .sb, .fos, .mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc , .lrf, .m2, .mcmeta, .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, . forge, .ltx, .bsa, .apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, wallet, .wotreplay, .xxx, .desc, . py, .m3u, .flv, .js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2 , .crw, .bay, .sr2, .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg , .xf, .dwg, .pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps.

'.AUF Dosya Uzantısı' Fidye Yazılımı, saldırıları dosyalarınızın çoğunu hızla erişilemez hale getirebilecek bir dosya şifreleme Truva atıdır. Bunun nedeni, bu tehdidin belgeler, resimler, videolar, arşivler ve diğerleri gibi popüler dosya biçimlerinin içeriğini kilitlemek için benzersiz bir oluşturulmuş şifreleme anahtarı kullanan güvenli bir dosya kilitleme algoritması kullanmak üzere programlanmış olmasıdır. Tüm şifrelenmiş verilerin adı '.AUF' uzantısını içerecek şekilde değiştirilir, böylece örneğin 'backup.rar' adlı bir dosya saldırıdan sonra 'backup.rar.AUF' olarak adlandırılır.

'.AUF Dosya Uzantısı' Fidye Yazılımı, Crysis Ransomware'in biraz değiştirilmiş bir çeşidi olarak tanımlandı ve ne yazık ki bu, kurbanlarının dosyalarının kurtarılmasında kendilerine yardımcı olacak ücretsiz bir şifre çözücüye güvenemeyecekleri anlamına geliyor. '.AUF Dosya Uzantısı' Fidye Yazılımı saldırısını gerçekleştirdikten sonra, kurbanlara iletişim bilgilerini ve dosyalarını tekrar kullanabilmek isterlerse ne yapmaları gerektiği konusunda talimatlar vermeyi amaçlayan bir fidye notu bırakır. Kötü haber ise saldırganların sunduğu çözüm oldukça pahalı – şifre çözme yazılımları karşılığında bir Bitcoin ödemesi talep ediyorlar. Bilgisayarınıza kötü amaçlı yazılım bulaştırmış olan anonim siber suçlulara para göndermenizi önermeyiz, çünkü karşılığında size hiçbir şey vermeden parayı almaları çok kolay olacaktır. Crysis Ransomware ailesinin bu belirli üyesi için kullanılan e-posta, Decisivekey@tutanota.com'dur.

'.AUF Dosya Uzantısı' Fidye Yazılımının kurbanı olarak, saldırganlarla iletişim kurmayı bile düşünmemelisiniz, çünkü bundan iyi bir şey çıkması pek olası değildir. Bunun yerine, hemen güvenilir bir kötü amaçlı yazılımdan koruma aracı çalıştırmaya başlamalı ve '.AUF Dosya Uzantısı' Fidye Yazılımına bağlı tüm dosyaları silmek için tarayıcısını kullanmalısınız. Bu görev tamamlandığında, dosyalarınızı bir yedekten geri yüklemenizi veya alternatif dosya kurtarma yardımcı programlarını kullanmanızı gerektiren kurtarma işleminin son adımına geçmelisiniz.

SpyHunter Crysis Fidye Yazılımı'u Algılar ve Kaldırır

Dosya Sistemi Detayları

Crysis Fidye Yazılımı aşağıdaki dosyaları oluşturabilir:
Hepsini genişlet | Hepsini Daralt
# Dosya adı MD5 Tespitler
1. 3A13.tmp.exe cced409e95d6c2e44823381df3880d96 139
2. 2110.exe 2566cea080491a6e9c64102b66cb2d1a 104
3. C877.tmp.exe b0f46ff6a22ba47e9847c60bf231d16d 94
4. 67E7.tmp.exe 846b068b46c7e07fd375c5337b50476b 91
5. 731.tmp.exe 7c7d821e85b6f5d237612a0ad63c5244 85
6. conhost.exe e17c681354771b875301fa30396b0835 80
7. 53BB.tmp.exe b510cded2f1ecb49eca3bf95b2ce447e 77
8. 914E.tmp.exe dcfd90a02459ee819324c016c1d8ced3 76
9. DD27.tmp.exe 45cef6ecf660235aecb98dc1464e71cb 74
10. A32F.tmp.exe 967238434e258179705b842946715064 67
11. E62B.tmp.exe e853c4cbf08ee22314aa3774df173253 62
12. B7C9.tmp.exe 9390d7fcb41867482a31c355c311ba03 49
13. bea04ab8.exe 200006d00a2864eff09d0bd250c31511 47
14. 7bd2.tmp.exe bdcc1679cd27d8b9e601c58e4b2a4f4e 45
15. 3CD.tmp.exe 299ed986a6988eb277a59c377d72f538 44
16. 75E6.tmp.exe 6bd4da60c0a7e5f1cfa78c6f9ed46c82 38
17. 99FE.tmp.exe 3b6920ae5d16db71e5faec28ec14839c 36
18. 63D9.tmp.exe fb18d3a278711aa1c2aa810adc020fe7 21
19. a881.tmp.exe 289b13c43f1591d099b8fbf9a3c6fd52 17
20. 113_1.exe d514d2c83259736eb02e9c21c70cf7ce 14
21. 1Ocean.exe 6493d3c8185bc890925ab2533072b560 10
22. y5sxvjna.part 681949435d7ea0b71d91078943411a39 9
23. exp1mod.exe 16f83403eb45474dcb00395fc671bcdd 6
24. cc08.tmp.exe 2cd0b38ee73521578c487b744606c63c 5
25. dfx+ychs.part cf00c5806fd9be5886fe65735244bf1e 2
26. d2c14b63.exe 31ce952855b8a993518b6ff0397bd1ea 2
27. 20e12340.exe 2a446a0c99194d0d869ac0afb53c7445 2
28. 7b50d997.exe 97759efa7a6a80ea4edcfad8272d6a4c 2
Daha fazla dosya

Kayıt defteri detayları

Crysis Fidye Yazılımı, aşağıdaki kayıt defteri girdisini veya kayıt defteri girdilerini oluşturabilir:
Regexp file mask
%APPDATA%\[RANDOM CHARACTERS]_201[NUMBERS]-[NUMBERS]-[NUMBERS]_[NUMBERS]-[NUMBERS].exe
%APPDATA%\exe.exe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\[RANDOM CHARACTERS]_201[NUMBERS]-[NUMBERS]-[NUMBERS]_[NUMBERS]-[NUMBERS].exe
%appdata%\microsoft\windows\start menu\programs\startup\[RANDOM CHARACTERS]payload.exe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\Skanda[RANDOM CHARACTERS].exe
%APPDATA%\microsoft\windows\start menu\programs\startup\winhost.exe
%APPDATA%\osk.exe
%APPDATA%\setap[RANDOM CHARACTERS].exe
%APPDATA%\Skanda[RANDOM CHARACTERS].exe
%userprofile%\documents\system.exe
%windir%\system32\payload.exe
%WINDIR%\System32\Skanda.exe
%windir%\syswow64\payload.exe

Analiz raporu

Genel bilgi

Family Name: Crysis Ransomware
Signature status: No Signature

Known Samples

MD5: 8424c3d68c6d0a520780ab1cc82f3374
SHA1: 2768988e85ad282b81fb3e3419d787bf01e7d167
SHA256: A2CC6BF839B626313DE8DAA37F4CAE43971982615DB58932460C06F8BBD46F10
Dosya boyutu: 94.72 KB, 94720 bytes

Windows Portable Executable Attributes

  • File doesn't have "Rich" header
  • File doesn't have exports table
  • File doesn't have relocations information
  • File doesn't have resources
  • File doesn't have security information
  • File is 32-bit executable
  • File is either console or GUI application
  • File is GUI application (IMAGE_SUBSYSTEM_WINDOWS_GUI)
  • File is Native application (NOT .NET application)
  • File is not packed
Show More
  • IMAGE_FILE_DLL is not set inside PE header (Executable)
  • IMAGE_FILE_EXECUTABLE_IMAGE is set inside PE header (Executable Image)

File Traits

  • HighEntropy
  • No Version Info
  • x86

Block Information

Total Blocks: 185
Potentially Malicious Blocks: 134
Whitelisted Blocks: 51
Unknown Blocks: 0

Visual Map

x 0 x 0 x x 0 x x 0 x x x 0 0 0 x x x x x x x 0 x x x x x x x 1 0 x x x x x x x 0 x x x x x x x 0 x x 0 x x 0 x x x x x 0 0 x x x x 0 0 0 0 0 0 x 0 x x x x 0 x x x x x x 0 x x x 0 0 x x x x x x x x x 0 0 x x 0 x 0 x x x 0 0 0 x 0 0 0 0 0 x x 0 x x 0 x 0 x x x 0 x 0 x 0 x x x x x x x x x x x x x x x x 0 x 0 x x x 0 0 0 x x x x x x x x x x x x x x 0 x x x x x x x x x x
0 - Probable Safe Block
? - Unknown Block
x - Potentially Malicious Block

Similar Families

  • Crysis.A
  • Crysis.D

Files Modified

File Attributes
\device\namedpipe Generic Read,Write Attributes
\device\namedpipe Generic Write,Read Attributes
c:\$recycle.bin\s-1-5-18\desktop.ini Generic Read,Write Data,Write Attributes,Write extended,Append data
c:\$recycle.bin\s-1-5-18\desktop.ini.id-be6cf229.[ownercall@tuta.io].txtme Generic Write,Read Attributes
c:\$recycle.bin\s-1-5-18\desktop.ini.id-be6cf229.[ownercall@tuta.io].txtme Synchronize,Write Attributes
c:\$recycle.bin\s-1-5-21-3119368278-1123331430-659265220-1001\desktop.ini Generic Read,Write Data,Write Attributes,Write extended,Append data
c:\$recycle.bin\s-1-5-21-3119368278-1123331430-659265220-1001\desktop.ini.id-be6cf229.[ownercall@tuta.io].txtme Generic Write,Read Attributes
c:\$recycle.bin\s-1-5-21-3119368278-1123331430-659265220-1001\desktop.ini.id-be6cf229.[ownercall@tuta.io].txtme Synchronize,Write Attributes
c:\programdata\microsoft\windows\start menu\programs\startup\2768988e85ad282b81fb3e3419d787bf01e7d167_0000094720 Generic Write,Read Attributes
c:\users\user\appdata\roaming\microsoft\windows\start menu\programs\startup\2768988e85ad282b81fb3e3419d787bf01e7d167_0000094720 Generic Write,Read Attributes
Show More
c:\windows\system32\2768988e85ad282b81fb3e3419d787bf01e7d167_0000094720 Generic Write,Read Attributes

Registry Modifications

Key::Value Veri API Name
HKLM\software\microsoft\windows\currentversion\run::2768988e85ad282b81fb3e3419d787bf01e7d167_0000094720 C:\WINDOWS\System32\2768988e85ad282b81fb3e3419d787bf01e7d167_0000094720 RegNtPreCreateKey
HKLM\system\controlset001\services\bam\state\usersettings\s-1-5-21-3119368278-1123331430-659265220-1001::\device\harddiskvolume2\windows\system32\cmd.exe ࿫쮄ꗑǜ RegNtPreCreateKey
HKLM\system\controlset001\services\bam\state\usersettings\s-1-5-21-3119368278-1123331430-659265220-1001::\device\harddiskvolume2\windows\system32\conhost.exe 풎쮈ꗑǜ RegNtPreCreateKey

Windows API Usage

Category API
Network Winsock2
  • WSAStartup
Service Control
  • OpenSCManager
Process Manipulation Evasion
  • NtUnmapViewOfSection
Process Shell Execute
  • CreateProcess
User Data Access
  • GetComputerName
  • GetUserObjectInformation
Syscall Use
  • ntdll.dll!NtAlertThreadByThreadId
  • ntdll.dll!NtAlpcSendWaitReceivePort
  • ntdll.dll!NtApphelpCacheControl
  • ntdll.dll!NtClose
  • ntdll.dll!NtConnectPort
  • ntdll.dll!NtCreateEvent
  • ntdll.dll!NtCreateFile
  • ntdll.dll!NtCreateSection
  • ntdll.dll!NtCreateSemaphore
  • ntdll.dll!NtDuplicateObject
Show More
  • ntdll.dll!NtEnumerateValueKey
  • ntdll.dll!NtFreeVirtualMemory
  • ntdll.dll!NtMapViewOfSection
  • ntdll.dll!NtOpenFile
  • ntdll.dll!NtOpenKey
  • ntdll.dll!NtOpenKeyEx
  • ntdll.dll!NtOpenProcessToken
  • ntdll.dll!NtOpenSection
  • ntdll.dll!NtProtectVirtualMemory
  • ntdll.dll!NtQueryAttributesFile
  • ntdll.dll!NtQueryInformationProcess
  • ntdll.dll!NtQueryInformationThread
  • ntdll.dll!NtQueryInformationToken
  • ntdll.dll!NtQueryKey
  • ntdll.dll!NtQueryPerformanceCounter
  • ntdll.dll!NtQuerySecurityAttributesToken
  • ntdll.dll!NtQueryValueKey
  • ntdll.dll!NtQueryVirtualMemory
  • ntdll.dll!NtQueryVolumeInformationFile
  • ntdll.dll!NtReleaseWorkerFactoryWorker
  • ntdll.dll!NtRequestWaitReplyPort
  • ntdll.dll!NtSetEvent
  • ntdll.dll!NtSetInformationProcess
  • ntdll.dll!NtSetInformationVirtualMemory
  • ntdll.dll!NtSetInformationWorkerFactory
  • ntdll.dll!NtTestAlert
  • ntdll.dll!NtTraceControl
  • ntdll.dll!NtUnmapViewOfSection
  • ntdll.dll!NtWaitForAlertByThreadId
  • ntdll.dll!NtWaitForSingleObject
  • ntdll.dll!NtWaitForWorkViaWorkerFactory
  • ntdll.dll!NtWaitLowEventPair
  • ntdll.dll!NtWorkerFactoryWorkerReady
  • ntdll.dll!NtWriteFile
  • UNKNOWN
Anti Debug
  • IsDebuggerPresent

Shell Command Execution

C:\WINDOWS\system32\cmd.exe (NULL)

trend

Federal Equity Trust Bank Tazminat E-posta...

Kimlik avı, İstenmeyen e-posta
Günümüzün tehdit ortamında beklenmedik e-postalarla başa çıkarken tetikte olmak çok önemlidir. Siber suçlular, güven kazanmak ve alıcıları hassas bilgileri ifşa etmeye veya para göndermeye yönlendirmek için sıklıkla saygın kurumları taklit ederler. Sözde Federal Equity Trust Bank Tazminat e-postası da bunun bir örneğidir. Bu mesajlar herhangi bir meşru şirket, banka, kuruluş veya devlet...

En çok görüntülenen

Yükleniyor...