CryWiper-haittaohjelma
Uhkailijat käyttävät upouutta haittaohjelmatyökalua kohdistetuissa hyökkäyksissä pormestareiden ja tuomioistuimien kimppuun Venäjällä. Kasperskyn tutkijat seuraavat haitallista uhkaa CryWiperinä. Lisätietoa hyökkäyskampanjoista on paljastanut uutispalvelu Izvestia.
Saatavilla olevien tietojen mukaan CryWiper muodostaa lunnasohjelmauhan, joka on otettu käyttöön osana taloudellisesti motivoitunutta hyökkäystä. Uhka vaikuttaa rikotun tietojärjestelmän tietoihin ja jättää ne käyttökelvottomiksi. Lukittujen tiedostojen alkuperäisiin nimiin on liitetty ".cry". Izvestia raportoi, että uhreille toimitetaan lunnaita, joissa vaaditaan 0,5 BTC:n (Bitcoin) maksua. Kryptovaluutan nykyisellä vaihtokurssilla lunnaat ovat arvoltaan yli 8500 dollaria. Varat odotetaan siirrettävän annettuun kryptolompakko-osoitteeseen.
Tietojen palautus ei ole mahdollista
Todellisuudessa CryWiperin uhrit eivät kuitenkaan pysty palauttamaan tietojaan, vaikka he täyttäisivät hyökkääjien vaatimukset. Syynä on se, että CryWiper tuhoaa niiden tiedostojen tiedot, joihin se vaikuttaa. Tämä toiminto ei näytä johtuvan virheellisestä ohjelmoinnista, vaan se on sen sijaan tarkoitettu seuraus CryWiperin suorituksesta. Asiantuntijat ovat havainneet, että uhrien tietojen tuhoamiseen käytetty algoritmi on Mersenne Vortex PRNG. Tämä on harvoin käytetty vaihtoehto, joka löytyy muutamista haittaohjelmauhkista, joista yksi esimerkki on IsaacWiper. CryWiper voidaan myös liittää Xorist- ja MSIL Agent ransomware -uhkiin, koska kaikki kolme käyttävät samoja sähköpostiosoitteita yhteydenpitoon.
Lisätiedot
CryWiper on levinnyt 64-bittisenä suoritettavana Windows-järjestelmiin. Uhka luotiin C++-ohjelmointikielellä ja yhteensopiva MinGW-w64-työkalupaketin ja GCC-kääntäjän kanssa. Kyberturvallisuusasiantuntijat huomauttavat, että tyypillisemmän Microsoft Visual Studion käyttämättä jättäminen on epätavallinen valinta ja saattaa viitata siihen, että uhasta vastuussa olevat hakkerit käyttivät muita kuin Windows-laitteita.
Pyyhkimien, kuten CryWiperin, vaikuttamien tietojen palauttaminen voi olla vaikeaa. Tästä syystä on erittäin suositeltavaa tehdä säännöllisiä varmuuskopioita ja pitää kaikki asennetut ohjelmistotyökalut ja kyberturvallisuusratkaisut ajan tasalla.
