Malware CryWiper

Gli autori delle minacce stanno utilizzando un nuovissimo strumento malware in attacchi mirati contro gli uffici del sindaco e i tribunali in Russia. La minaccia malevola viene tracciata come CryWiper dai ricercatori di Kaspersky. Ulteriori dettagli sulle campagne di attacco sono stati rivelati dal servizio di notizie Izvestia.

Secondo le informazioni disponibili, CryWiper si pone come una minaccia ransomware implementata come parte di un attacco motivato finanziariamente. La minaccia avrà un impatto sui dati trovati sui sistemi informatici violati e li lascerà in uno stato inutilizzabile. I file bloccati avranno '.cry' allegato ai loro nomi originali. Izvestia riferisce che alle vittime viene fornita una richiesta di riscatto che richiede il pagamento di 0,5 BTC (Bitcoin). Al tasso di cambio attuale della criptovaluta il riscatto vale più di $8500. I fondi dovrebbero essere trasferiti all'indirizzo del criptowallet fornito.

Il recupero dei dati non è possibile

In realtà, tuttavia, le vittime di CryWiper non saranno in grado di ripristinare i propri dati, anche se soddisfano le richieste degli aggressori. Il motivo è che CryWiper distrugge i dati dei file che interessa. Questa funzionalità non sembra essere il risultato di una programmazione errata ed è invece una conseguenza prevista dell'esecuzione di CryWiper. Gli esperti hanno scoperto che l'algoritmo utilizzato per la distruzione dei dati delle vittime è Mersenne Vortex PRNG. Questa è una scelta usata raramente trovata in poche minacce malware, con uno di questi esempi IsaacWiper. CryWiper potrebbe anche essere collegato alle minacce ransomware Xorist e MSIL Agent, poiché tutti e tre utilizzano gli stessi indirizzi e-mail per il contatto.

dettagli aggiuntivi

CryWiper è diffuso come eseguibile a 64 bit destinato ai sistemi Windows. La minaccia è stata creata utilizzando il linguaggio di programmazione C++ ed è conforme al toolkit MinGW-w64 e al compilatore GCC. Gli esperti di sicurezza informatica sottolineano che non utilizzare il più tipico Microsoft Visual Studio è una scelta insolita e potrebbe segnalare che gli hacker responsabili della minaccia stavano utilizzando dispositivi non Windows.

Recuperare i dati interessati da wiper come CryWiper potrebbe essere difficile. Ecco perché si consiglia vivamente di creare backup regolari e di mantenere aggiornati tutti gli strumenti software installati e le soluzioni di sicurezza informatica.