Udostępnij:

Crysis był do tej pory jednym z najskuteczniejszych szkodników typu ransomware, uważanym za godnego następcę TeslaCryptu. Szyfrując pliki ponad 185 typów na wszelkiego rodzaju dyskach i zasobach sieciowych Windowsa i likwidując tworzone przez system migawki poprzednich wersji, szkodnik stawiał ofiary pod ścianą – szacuje się, że tysiące osób zapłaciły bitcoinami okup o wartości sięgającej niekiedy tysiąca euro. Z tym już jednak koniec, płacić już nie trzeba. Nowy dekoder firmy ESET jest w stanie przywrócić wszystkie dane, które przez Crysisa zostały zaszyfrowane.

Crysis kasuje wszystkie shadow copies Windowsa: niczego z migawek nie odzyskasz

Szanse na złamanie szyfrowania stosowanego przez Crysisa były marne – szkodnik wykorzystuje szyfry RSA i AES z długimi kluczami, w implementacji nie znalazły się żadne błędy. I pewnie tak by zostało, a ransomware atakowałoby kolejne osoby, rozpowszechniając się przez spam i kanały social media, gdyby nie niespodziewany prezent. 13 listopada użytkownik crss7777 na forum bleepingcomputer upublicznił klucze główne wszystkich wariantów Crisisa.

Szybko potwierdziło się, że klucze są oryginalne. Eksperci ESET-u, dysponując już wcześniejszą dokładną analizą szkodnika, dość szybko zdołali przygotować narzędzie deszyfrujące. Jest całkiem proste, działa w konsoli i pozwala odszyfrować wszystkie pliki z rozszerzeniami .crysis, .xtbl, .crypt czy .lock. Wystarczy uruchomić go z literą dysku jako parametrem (np. ESETCrysisDecryptor.exe C:)

Bardzo prosty interfejs deszyfratora

Deszyfratory dla ofiar ransomware pojawiają się coraz częściej, czasem dzięki błędom twórców ransomware, czasem dzięki wewnętrznym porachunkom w światku twórców złośliwego oprogramowania. Tak było np. w wypadku Chimery, unieszkodliwionej po udostępnieniu jej kluczy przez twórców szkodników Petya i Mischa. Pozostaje się tylko cieszyć z niezgody między nimi panującej.

ESET Crysis Decryptor znajdziecie w naszej bazie oprogramowania na Windowsa.