CryWiper البرامج الضارة

يستخدم الفاعلون المهددون أداة برمجيات خبيثة جديدة تمامًا في الهجمات الموجهة ضد مكاتب العمدة والمحاكم في روسيا. يتم تتبع التهديد الخبيث على أنه CryWiper بواسطة الباحثين في Kaspersky. وكشفت خدمة إيزفيستيا الإخبارية تفاصيل إضافية حول الحملات الهجومية.

وفقًا للمعلومات المتاحة ، يمثل CryWiper تهديدًا لبرامج الفدية يتم نشره كجزء من هجوم بدوافع مالية. سيؤثر التهديد على البيانات الموجودة على أنظمة الكمبيوتر المخترقة ويتركها في حالة غير قابلة للاستخدام. الملفات المقفلة سيكون لها ".cry" مرفقة بأسمائها الأصلية. ذكرت Izvestia أن الضحايا يتلقون مذكرة فدية تطالب بدفع 0.5 BTC (Bitcoin). وفقًا لسعر الصرف الحالي للعملة المشفرة ، تبلغ قيمة الفدية أكثر من 8500 دولار. من المتوقع أن يتم تحويل الأموال إلى عنوان المحفظة المشفرة المقدم.

استعادة البيانات غير ممكن

لكن في الواقع ، لن يتمكن ضحايا CryWiper من استعادة بياناتهم ، حتى لو لبوا مطالب المهاجمين. والسبب هو أن CryWiper يدمر بيانات الملفات التي يؤثر عليها. لا يبدو أن هذه الوظيفة ناتجة عن البرمجة الخاطئة وهي بدلاً من ذلك نتيجة مقصودة لتنفيذ CryWiper. اكتشف الخبراء أن الخوارزمية المستخدمة لتدمير بيانات الضحايا هي Mersenne Vortex PRNG. هذا خيار نادر الاستخدام موجود في عدد قليل من تهديدات البرامج الضارة ، وأحد الأمثلة على ذلك هو IsaacWiper. يمكن أيضًا توصيل CryWiper بتهديدات برنامج الفدية Xorist و MSIL Agent ، حيث يستخدم الثلاثة عناوين البريد الإلكتروني نفسها للاتصال.

تفاصيل اضافية

ينتشر CryWiper كملف تنفيذي 64 بت يستهدف أنظمة Windows. تم إنشاء التهديد باستخدام لغة البرمجة C ++ وتم الامتثال لمجموعة أدوات MinGW-w64 ومترجم GCC. يشير خبراء الأمن السيبراني إلى أن عدم استخدام Microsoft Visual Studio الأكثر نموذجية يعد خيارًا غير معتاد ويمكن أن يشير إلى أن المتسللين المسؤولين عن التهديد كانوا يستخدمون أجهزة بخلاف Windows.

قد يكون من الصعب استعادة البيانات المتأثرة بالمساحات مثل CryWiper. هذا هو السبب في أنه يوصى بشدة بإنشاء نسخ احتياطية منتظمة والحفاظ على تحديث جميع أدوات البرامج المثبتة وحلول الأمن السيبراني.