Threat Database Malware Złośliwe oprogramowanie CryWiper

Złośliwe oprogramowanie CryWiper

Aktorzy zajmujący się cyberprzestępczością wykorzystują zupełnie nowe narzędzie szkodliwego oprogramowania w ukierunkowanych atakach na biura burmistrza i sądy w Rosji. Złośliwe zagrożenie jest śledzone przez badaczy z firmy Kaspersky jako CryWiper. Dodatkowe szczegóły dotyczące kampanii ataków zostały ujawnione przez serwis informacyjny Izwiestia.

Według dostępnych informacji, CryWiper stwarza zagrożenie ransomware wdrożone w ramach ataku motywowanego finansowo. Zagrożenie wpłynie na dane znalezione w zaatakowanych systemach komputerowych i pozostawi je w stanie bezużytecznym. Zablokowane pliki będą miały „.cry” dołączone do ich oryginalnych nazw. Izvestia informuje, że ofiary otrzymują żądanie okupu, żądające zapłaty 0,5 BTC (Bitcoin). Przy obecnym kursie kryptowaluty okup jest wart ponad 8500 $. Oczekuje się, że środki zostaną przelane na podany adres kryptowaluty.

Odzyskiwanie danych nie jest możliwe

W rzeczywistości jednak ofiary CryWipera nie będą w stanie odzyskać swoich danych, nawet jeśli spełnią żądania atakujących. Powodem jest to, że CryWiper niszczy dane plików, na które ma wpływ. Ta funkcja nie wydaje się być wynikiem wadliwego programowania, a zamiast tego jest zamierzoną konsekwencją wykonania CryWipera. Eksperci odkryli, że algorytm używany do niszczenia danych ofiar to Mersenne Vortex PRNG. Jest to rzadko używany wybór, który można znaleźć w kilku zagrożeniach złośliwym oprogramowaniem, a jednym z takich przykładów jest IsaacWiper. CryWiper może być również powiązany z zagrożeniami ransomware Xorist i MSIL Agent, ponieważ wszystkie trzy używają tych samych adresów e-mail do kontaktu.

Dodatkowe Szczegóły

CryWiper rozprzestrzenia się jako 64-bitowy plik wykonywalny atakujący systemy Windows. Zagrożenie zostało stworzone przy użyciu języka programowania C++ i zgodne z zestawem narzędzi MinGW-w64 oraz kompilatorem GCC. Eksperci ds. cyberbezpieczeństwa zwracają uwagę, że rezygnacja z bardziej typowego Microsoft Visual Studio jest nietypowym wyborem i może oznaczać, że hakerzy odpowiedzialni za zagrożenie korzystali z urządzeń innych niż Windows.

Odzyskiwanie danych, na które miały wpływ wycieraczki, takie jak CryWiper, może być trudne. Dlatego zdecydowanie zaleca się regularne tworzenie kopii zapasowych i aktualizowanie wszystkich zainstalowanych narzędzi programowych i rozwiązań w zakresie cyberbezpieczeństwa.

Popularne

Najczęściej oglądane

Ładowanie...