CryWiper Malware

Hotaktörer använder ett helt nytt skadlig programvara i riktade attacker mot borgmästarkontor och domstolar i Ryssland. Det skadliga hotet spåras som CryWiper av forskarna vid Kaspersky. Ytterligare detaljer om attackkampanjerna har avslöjats av nyhetstjänsten Izvestia.

Enligt tillgänglig information utgör CryWiper ett ransomware-hot utplacerat som en del av en ekonomiskt motiverad attack. Hotet kommer att påverka data som hittas på de intrångade datorsystemen och lämna dem i ett oanvändbart tillstånd. De låsta filerna kommer att ha ".cry" kopplat till sina ursprungliga namn. Izvestia rapporterar att offren förses med en lösenseddel som kräver betalning av 0,5 BTC (Bitcoin). Med den aktuella växelkursen för kryptovalutan är lösensumman värd mer än $8500. Medlen förväntas överföras till den angivna kryptoplånboksadressen.

Dataåterställning är inte möjlig

I verkligheten kommer dock offer för CryWiper inte att kunna återställa sina data, även om de uppfyller angriparnas krav. Anledningen är att CryWiper förstör data i de filer som den påverkar. Denna funktionalitet verkar inte vara ett resultat av felaktig programmering utan är istället en avsedd konsekvens av CryWipers exekvering. Experterna har upptäckt att algoritmen som används för att förstöra offrens data är Mersenne Vortex PRNG. Detta är ett sällan använt val som finns i få malware-hot, med ett sådant exempel är IsaacWiper. CryWiper kan också kopplas till Xorist och MSIL Agent ransomware-hoten, eftersom alla tre använder samma e-postadresser för kontakt.

ytterligare detaljer

CryWiper sprids som en 64-bitars körbar inriktning mot Windows-system. Hotet skapades med hjälp av programmeringsspråket C++ och överensstämde med MinGW-w64-verktygssatsen och GCC-kompilatorn. Cybersäkerhetsexperter påpekar att att inte använda den mer typiska Microsoft Visual Studio är ett ovanligt val och kan signalera att de hackare som är ansvariga för hotet använde icke-Windows-enheter.

Det kan vara svårt att återställa data som påverkas av torkare som CryWiper. Det är därför det starkt rekommenderas att skapa regelbundna säkerhetskopior och att hålla alla installerade mjukvaruverktyg och cybersäkerhetslösningar uppdaterade.