CryWiper 악성코드

위협 행위자들은 러시아의 시장실과 법원을 대상으로 한 표적 공격에 새로운 맬웨어 도구를 사용하고 있습니다. 이 악성 위협은 Kaspersky 연구원에 의해 CryWiper로 추적되고 있습니다. 공격 캠페인에 대한 추가 세부 정보는 뉴스 서비스 Izvestia에 의해 공개되었습니다.

사용 가능한 정보에 따르면 CryWiper는 금전적 동기가 있는 공격의 일부로 배포된 랜섬웨어 위협으로 위장합니다. 이 위협은 침해된 컴퓨터 시스템에서 발견된 데이터에 영향을 미치고 사용할 수 없는 상태로 둡니다. 잠긴 파일에는 원래 이름에 '.cry'가 첨부됩니다. Izvestia는 피해자에게 0.5 BTC(비트코인)의 지불을 요구하는 몸값 메모를 제공했다고 보고했습니다. 암호 화폐의 현재 환율에서 몸값은 $8500 이상의 가치가 있습니다. 자금은 제공된 암호 지갑 주소로 이체될 것으로 예상됩니다.

데이터 복구가 불가능합니다

그러나 실제로 CryWiper의 피해자는 공격자의 요구를 충족하더라도 데이터를 복원할 수 없습니다. 그 이유는 CryWiper가 영향을 미치는 파일의 데이터를 파괴하기 때문입니다. 이 기능은 잘못된 프로그래밍의 결과로 보이지 않으며 대신 CryWiper 실행의 의도된 결과입니다. 전문가들은 피해자의 데이터를 파괴하는 데 사용된 알고리즘이 Mersenne Vortex PRNG라는 사실을 발견했습니다. 이것은 몇몇 맬웨어 위협에서 거의 사용되지 않는 선택이며, 그러한 예 중 하나는 IsaacWiper입니다. CryWiper는 Xorist 및 MSIL Agent 랜섬웨어 위협에도 연결될 수 있습니다. 세 가지 모두 동일한 이메일 주소를 사용하여 연락하기 때문입니다.

추가 세부 사항

CryWiper는 Windows 시스템을 대상으로 하는 64비트 실행 파일로 확산됩니다. 이 위협은 C++ 프로그래밍 언어를 사용하여 생성되었으며 MinGW-w64 툴킷 및 GCC 컴파일러를 준수했습니다. 사이버 보안 전문가들은 보다 일반적인 Microsoft Visual Studio를 사용하지 않는 것은 이례적인 선택이며 위협을 담당하는 해커가 비 Windows 장치를 사용하고 있다는 신호일 수 있다고 지적합니다.

CryWiper와 같은 와이퍼의 영향을 받은 데이터를 복구하는 것은 어려울 수 있습니다. 그렇기 때문에 정기적인 백업을 생성하고 설치된 모든 소프트웨어 도구와 사이버 보안 솔루션을 최신 상태로 유지하는 것이 좋습니다.