Malware CryWiper
Atores de ameaças estão usando uma nova ferramenta de malware em ataques direcionados contra gabinetes de prefeitos e tribunais na Rússia. A ameaça maliciosa está sendo rastreada como CryWiper pelos pesquisadores da Kaspersky. Detalhes adicionais sobre as campanhas de ataque foram revelados pelo serviço de notícias Izvestia.
De acordo com as informações disponíveis, o CryWiper se apresenta como uma ameaça de ransomware implantada como parte de um ataque com motivação financeira. A ameaça afetará os dados encontrados nos sistemas de computador violados e os deixará em um estado inutilizável. Os arquivos bloqueados terão '.cry' anexado aos seus nomes originais. O Izvestia relata que as vítimas recebem uma nota de resgate exigindo o pagamento de 0,5 BTC (Bitcoin). Na taxa de câmbio atual da criptomoeda, o resgate vale mais de US$ 8.500. Espera-se que os fundos sejam transferidos para o endereço de criptomoeda fornecido.
Recuperação de dados não é possível
Na realidade, porém, as vítimas do CryWiper não conseguirão restaurar seus dados, mesmo que atendam às demandas dos invasores. A razão é que CryWiper destrói os dados dos arquivos que afeta. Essa funcionalidade não parece ser resultado de programação defeituosa e, em vez disso, é uma consequência pretendida da execução do CryWiper. Os especialistas descobriram que o algoritmo usado para a destruição dos dados das vítimas é o Mersenne Vortex PRNG. Essa é uma opção raramente usada encontrada em poucas ameaças de malware, sendo um exemplo disso o IsaacWiper. O CryWiper também pode estar conectado às ameaças de ransomware Xorist e MSIL Agent, já que todos os três usam os mesmos endereços de e-mail para contato.
detalhes adicionais
O CryWiper é distribuído como um executável de 64 bits direcionado aos sistemas Windows. A ameaça foi criada usando a linguagem de programação C++ e compatível com o kit de ferramentas MinGW-w64 e o compilador GCC. Especialistas em segurança cibernética apontam que não usar o Microsoft Visual Studio mais comum é uma escolha incomum e pode sinalizar que os hackers responsáveis pela ameaça estavam usando dispositivos não Windows.
Recuperar dados afetados por limpadores como o CryWiper pode ser difícil. É por isso que é altamente recomendável criar backups regulares e manter todas as ferramentas de software instaladas e soluções de cibersegurança atualizadas.
