CryWiper-malware

Bedreigers gebruiken een gloednieuwe malwaretool voor gerichte aanvallen op burgemeesterskantoren en rechtbanken in Rusland. De kwaadaardige dreiging wordt door de onderzoekers van Kaspersky gevolgd als CryWiper. Aanvullende details over de aanvalscampagnes zijn onthuld door de nieuwsdienst Izvestia.

Volgens de beschikbare informatie doet CryWiper zich voor als een ransomware-dreiging die wordt ingezet als onderdeel van een financieel gemotiveerde aanval. De dreiging heeft invloed op de gegevens die op de geschonden computersystemen worden gevonden en laat deze in een onbruikbare staat achter. Aan de vergrendelde bestanden is '.cry' gekoppeld aan hun oorspronkelijke naam. Izvestia meldt dat slachtoffers een losgeldbrief ontvangen waarin de betaling van 0,5 BTC (Bitcoin) wordt geëist. Tegen de huidige wisselkoers van de cryptocurrency is het losgeld meer dan $8500 waard. Het geld wordt naar verwachting overgemaakt naar het opgegeven cryptowallet-adres.

Gegevensherstel is niet mogelijk

In werkelijkheid zullen de slachtoffers van CryWiper hun gegevens echter niet kunnen herstellen, zelfs niet als ze voldoen aan de eisen van de aanvallers. De reden is dat CryWiper de gegevens vernietigt van de bestanden die het beïnvloedt. Deze functionaliteit lijkt niet het resultaat te zijn van foutieve programmering, maar is in plaats daarvan een bedoeld gevolg van de uitvoering van CryWiper. De experts hebben ontdekt dat het algoritme dat wordt gebruikt voor de vernietiging van de gegevens van de slachtoffers Mersenne Vortex PRNG is. Dit is een zelden gebruikte keuze die wordt aangetroffen bij enkele malwarebedreigingen, waaronder IsaacWiper. CryWiper kan ook in verband worden gebracht met de Xorist- en MSIL Agent-ransomwarebedreigingen, aangezien alle drie dezelfde e-mailadressen gebruiken om contact op te nemen.

Overige gegevens

CryWiper wordt verspreid als een 64-bits uitvoerbaar bestand gericht op Windows-systemen. De dreiging is gemaakt met behulp van de programmeertaal C++ en voldeed aan de MinGW-w64-toolkit en de GCC-compiler. Cyberbeveiligingsexperts wijzen erop dat het niet gebruiken van de meer typische Microsoft Visual Studio een ongebruikelijke keuze is en erop kan wijzen dat de hackers die verantwoordelijk zijn voor de dreiging niet-Windows-apparaten gebruikten.

Het herstellen van gegevens die zijn aangetast door ruitenwissers zoals CryWiper kan moeilijk zijn. Daarom is het sterk aan te raden om regelmatig back-ups te maken en alle geïnstalleerde softwaretools en cybersecurity-oplossingen up-to-date te houden.