Pour la première fois repéré en février par ESET, CrySiS est un ransomware capable de chiffrer plus de 185 types de fichiers sur des lecteurs fixes, amovibles et réseau. Il utilise des algorithmes de chiffrement fort en mêlant RSA et AES. Les fichiers chiffrés ont alors une extension .xtbl et avec une demande de rançon 400 à 900 €.
CrySiS est distribué via des pièces jointes d'emails ou des liens dans des messages de spam. Il existe également des versions sous la forme de chevaux de Troie avec des programmes infectés comme WinRAR, Microsoft Excel et iExplorer.
D'après Kaspersky Lab (Threatpost), CrySiS compte pour 1,15 % des infections par ransomware de cette année. Toutefois, il vient de connaître un sort inattendu. Sur le forum Bleeping Computer, un membre dénommé crss7777 a publié un lien Pastebin menant vers un fichier en-tête C contenant les clés maîtres pour déchiffrer les fichiers pris en otage par CrySiS.
Pas de bluff, des chercheurs en sécurité chez Kaspersky Lab ont intégré ces clés dans l'outil gratuit de désinfection RakhniDecryptor. La raison d'une telle divulgation est un mystère. Un ransomware qui n'était pas assez rémunérateur ? Des cybercriminels inquiets de représailles de forces de l'ordre ?
Ce n'est en tout pas une première. Une divulgation similaire - et également inattendue - avait eu lieu avec le ransomware TeslaCrypt. CrySiS était justement considéré comme le successeur de TeslaCrypt.
