CryWiper Malware

Aktor ancaman menggunakan alat perisian hasad serba baharu dalam serangan yang disasarkan terhadap pejabat dan mahkamah datuk bandar di Rusia. Ancaman berniat jahat sedang dikesan sebagai CryWiper oleh penyelidik di Kaspersky. Butiran tambahan mengenai kempen serangan telah didedahkan oleh perkhidmatan berita Izvestia.

Menurut maklumat yang ada, CryWiper menyamar sebagai ancaman perisian tebusan yang digunakan sebagai sebahagian daripada serangan yang bermotifkan kewangan. Ancaman akan memberi kesan kepada data yang terdapat pada sistem komputer yang dilanggar dan meninggalkannya dalam keadaan tidak boleh digunakan. Fail yang dikunci akan mempunyai '.cry' yang dilampirkan pada nama asalnya. Izvestia melaporkan bahawa mangsa dibekalkan dengan nota tebusan yang menuntut pembayaran 0.5 BTC (Bitcoin). Pada kadar pertukaran mata wang kripto semasa, tebusan bernilai lebih daripada $8500. Dana tersebut dijangka akan dipindahkan ke alamat cryptowallet yang disediakan.

Pemulihan Data Tidak Mungkin

Pada hakikatnya, bagaimanapun, mangsa CryWiper tidak akan dapat memulihkan data mereka, walaupun mereka memenuhi permintaan penyerang. Sebabnya ialah CryWiper memusnahkan data fail yang terjejas. Fungsi ini nampaknya bukan hasil daripada pengaturcaraan yang rosak dan sebaliknya merupakan akibat yang dimaksudkan daripada pelaksanaan CryWiper. Pakar telah mendapati bahawa algoritma yang digunakan untuk pemusnahan data mangsa ialah Mersenne Vortex PRNG. Ini adalah pilihan yang jarang digunakan yang ditemui dalam beberapa ancaman perisian hasad, dengan satu contoh seperti IsaacWiper. CryWiper juga boleh disambungkan kepada ancaman perisian tebusan Ejen Xorist dan MSIL, kerana ketiga-tiganya menggunakan alamat e-mel yang sama untuk dihubungi.

maklumat tambahan

CryWiper disebarkan sebagai 64-bit boleh laku yang menyasarkan sistem Windows. Ancaman dibuat menggunakan bahasa pengaturcaraan C++ dan mematuhi kit alat MinGW-w64 dan pengkompil GCC. Pakar keselamatan siber menegaskan bahawa tidak menggunakan Microsoft Visual Studio yang lebih tipikal adalah pilihan yang luar biasa dan boleh memberi isyarat bahawa penggodam yang bertanggungjawab terhadap ancaman itu menggunakan peranti bukan Windows.

Memulihkan data yang terjejas oleh pengelap seperti CryWiper mungkin sukar. Itulah sebabnya adalah sangat disyorkan untuk membuat sandaran tetap dan memastikan semua alatan perisian yang dipasang dan penyelesaian keselamatan siber dikemas kini.