CryWiper Malware

A fenyegetés szereplői vadonatúj kártevő-eszközt használnak az oroszországi polgármesteri hivatalok és bíróságok elleni célzott támadásokhoz. A rosszindulatú fenyegetést CryWiper néven követik a Kaspersky kutatói. A támadási kampányokról további részleteket közölt az Izvesztyija hírszolgálat.

A rendelkezésre álló információk szerint a CryWiper ransomware-fenyegetést jelent, amelyet egy pénzügyi indíttatású támadás részeként telepítettek. A fenyegetés hatással lesz a feltört számítógépes rendszereken talált adatokra, és használhatatlanná teszi azokat. A zárolt fájlok eredeti nevükhöz ".cry" lesz csatolva. Az Izvesztyia jelentése szerint az áldozatokat váltságdíjjal látják el, amelyben 0,5 BTC (Bitcoin) fizetését követelik. A kriptovaluta jelenlegi árfolyamán a váltságdíj több mint 8500 dollárt ér. A pénzeszközöket várhatóan a megadott kriptotárca-címre utalják át.

Az adatok helyreállítása nem lehetséges

A valóságban azonban a CryWiper áldozatai nem tudják visszaállítani adataikat, még akkor sem, ha megfelelnek a támadók igényeinek. Ennek az az oka, hogy a CryWiper megsemmisíti az általa érintett fájlok adatait. Úgy tűnik, hogy ez a funkció nem hibás programozás eredménye, hanem a CryWiper végrehajtásának szándékolt következménye. A szakértők felfedezték, hogy az áldozatok adatainak megsemmisítésére használt algoritmus a Mersenne Vortex PRNG. Ez egy ritkán használt választás, amely néhány rosszindulatú program fenyegetésében található, ilyen például az IsaacWiper. A CryWiper a Xorist és az MSIL Agent ransomware fenyegetésekkel is összekapcsolható, mivel mindhárom ugyanazt az e-mail címet használja a kapcsolatfelvételhez.

További részletek

A CryWiper 64 bites futtatható fájlként terjed, amely Windows rendszereket céloz meg. A fenyegetést a C++ programozási nyelv használatával hozták létre, és megfelelt a MinGW-w64 eszközkészletnek és a GCC fordítónak. A kiberbiztonsági szakértők rámutatnak, hogy a tipikusabb Microsoft Visual Studio használata szokatlan választás, és azt jelezheti, hogy a fenyegetésért felelős hackerek nem Windows-os eszközöket használtak.

Az ablaktörlők, például a CryWiper által érintett adatok helyreállítása nehézkes lehet. Éppen ezért erősen javasolt a rendszeres biztonsági mentések készítése, valamint az összes telepített szoftvereszköz és kiberbiztonsági megoldás naprakészen tartása.