Threat Database Malware תוכנת זדונית של CryWiper

תוכנת זדונית של CryWiper

שחקני איומים משתמשים בכלי תוכנה זדונית חדש לגמרי בהתקפות ממוקדות נגד משרדי ראש העיר ובתי המשפט ברוסיה. האיום הזדוני עוקב בתור CryWiper על ידי החוקרים בקספרסקי. פרטים נוספים על מסעות התקיפה נחשפו על ידי שירות החדשות איזבסטיה.

על פי המידע הזמין, CryWiper מהווה איום של תוכנת כופר שנפרס כחלק מהתקפה ממניעים פיננסיים. האיום ישפיע על הנתונים שנמצאו על מערכות המחשב הפורצות וישאיר אותם במצב בלתי שמיש. לקבצים הנעולים יהיה '.cry' מצורף לשמותיהם המקוריים. איזבסטיה מדווחת כי לקורבנות מסופק שטר כופר הדורש תשלום של 0.5 BTC (ביטקוין). לפי שער החליפין הנוכחי של המטבע הקריפטו הכופר שווה יותר מ-8500$. הכספים צפויים להיות מועברים לכתובת ארנק הקריפטו שסופקה.

שחזור נתונים אינו אפשרי

אולם במציאות, קורבנות CryWiper לא יוכלו לשחזר את הנתונים שלהם, גם אם הם יעמדו בדרישות התוקפים. הסיבה היא ש-CryWiper הורס את הנתונים של הקבצים שהוא משפיע. נראה כי פונקציונליות זו אינה תוצאה של תכנות שגוי והיא במקום זאת תוצאה מיועדת של הביצוע של CryWiper. המומחים גילו שהאלגוריתם המשמש להשמדת הנתונים של הקורבנות הוא Mersenne Vortex PRNG. זוהי בחירה נדירה שנמצאת באיומי תוכנות זדוניות בודדות, כאשר דוגמה אחת כזו היא IsaacWiper. CryWiper יכול להיות מחובר גם לאיומי Xorist ו-MSIL Agent, שכן שלושתם משתמשים באותן כתובות דוא"ל ליצירת קשר.

פרטים נוספים

CryWiper מופץ כקובץ הפעלה של 64 סיביות המכוון למערכות Windows. האיום נוצר באמצעות שפת התכנות C++ ותאם את ערכת הכלים MinGW-w64 ואת מהדר GCC. מומחי אבטחת סייבר מציינים כי אי השימוש ב-Microsoft Visual Studio הטיפוסי יותר הוא בחירה יוצאת דופן ועלולה לאותת שההאקרים האחראים לאיום השתמשו במכשירים שאינם Windows.

שחזור נתונים שהושפעו ממגבים כגון CryWiper עשוי להיות קשה. לכן מומלץ מאוד ליצור גיבויים קבועים ולעדכן את כל כלי התוכנה ופתרונות אבטחת הסייבר המותקנים.

מגמות

הכי נצפה

טוען...