CryWiper ļaunprātīga programmatūra

Draudu dalībnieki izmanto pavisam jaunu ļaunprogrammatūras rīku mērķtiecīgiem uzbrukumiem mēru birojiem un tiesām Krievijā. Kaspersky pētnieki ļaunprātīgos draudus izseko kā CryWiper. Papildu informāciju par uzbrukuma kampaņām atklājis ziņu dienests Izvestija.

Saskaņā ar pieejamo informāciju CryWiper rada izspiedējvīrusa draudus, kas tiek izvietots finansiāli motivēta uzbrukuma ietvaros. Draudi ietekmēs uzlauztajās datorsistēmās atrastos datus un atstās tos neizmantojamā stāvoklī. Bloķētajiem failiem to sākotnējiem nosaukumiem būs pievienots “.cry”. Izvestija ziņo, ka upuriem tiek izsniegta izpirkuma naudaszīme, kurā tiek prasīts samaksāt 0,5 BTC (Bitcoin). Pēc pašreizējā kriptovalūtas maiņas kursa izpirkuma summa ir vairāk nekā 8500 USD. Paredzams, ka līdzekļi tiks pārskaitīti uz norādīto kriptovalūtas adresi.

Datu atkopšana nav iespējama

Tomēr patiesībā CryWiper upuri nevarēs atjaunot savus datus, pat ja tie atbilst uzbrucēju prasībām. Iemesls ir tāds, ka CryWiper iznīcina to failu datus, kurus tas ietekmē. Šķiet, ka šī funkcionalitāte nav kļūdainas programmēšanas rezultāts, tā vietā tā ir paredzēta CryWiper izpildes sekas. Eksperti atklājuši, ka upuru datu iznīcināšanai izmantotais algoritms ir Mersenne Vortex PRNG. Šī ir reti izmantota izvēle, kas atrodama dažos ļaunprātīgas programmatūras draudos, un viens no šādiem piemēriem ir IsaacWiper. CryWiper varētu būt savienots arī ar Xorist un MSIL Agent izpirkuma programmatūras draudiem, jo visi trīs saziņai izmanto vienas un tās pašas e-pasta adreses.

Papildu informācija

CryWiper tiek izplatīts kā 64 bitu izpildāmā programma, kas paredzēta Windows sistēmām. Draudi tika izveidoti, izmantojot C++ programmēšanas valodu, un tie atbilst MinGW-w64 rīku komplektam un GCC kompilatoram. Kiberdrošības eksperti norāda, ka tipiskākā Microsoft Visual Studio neizmantošana ir neparasta izvēle un var liecināt, ka par apdraudējumu atbildīgie hakeri izmantoja ierīces, kas nav Windows.

Var būt grūti atgūt datus, kurus ietekmē tīrītāji, piemēram, CryWiper. Tāpēc ir ļoti ieteicams regulāri izveidot dublējumus un atjaunināt visus instalētos programmatūras rīkus un kiberdrošības risinājumus.