Вредоносное ПО CryWiper

Злоумышленники используют новый вредоносный инструмент для целевых атак на мэрии и суды в России. Вредоносная угроза отслеживается исследователями «Лаборатории Касперского» как CryWiper. Дополнительные подробности об атаках сообщили «Известия».

По имеющейся информации, CryWiper позиционируется как программа-вымогатель, развернутая в рамках финансово мотивированной атаки. Угроза повлияет на данные, обнаруженные в взломанных компьютерных системах, и оставит их в непригодном для использования состоянии. Заблокированные файлы будут иметь «.cry», прикрепленный к их исходным именам. Как сообщают «Известия», жертвам предоставляется записка о выкупе с требованием выплаты 0,5 BTC (биткойн). По текущему курсу криптовалюты выкуп составляет более 8500 долларов. Ожидается, что средства будут переведены на указанный адрес криптокошелька.

Восстановление данных невозможно

Однако в действительности жертвы CryWiper не смогут восстановить свои данные, даже если удовлетворят требования злоумышленников. Причина в том, что CryWiper уничтожает данные файлов, на которые он влияет. Эта функциональность не является результатом ошибочного программирования, а является предполагаемым следствием выполнения CryWiper. Эксперты обнаружили, что алгоритм, используемый для уничтожения данных жертв, представляет собой Mersenne Vortex PRNG. Это редко используемый вариант, встречающийся в нескольких угрозах вредоносного ПО, одним из таких примеров является IsaacWiper. CryWiper также может быть связан с угрозами программ-вымогателей Xorist и MSIL Agent, поскольку все три используют одни и те же адреса электронной почты для связи.

дополнительные детали

CryWiper распространяется как 64-битный исполняемый файл, предназначенный для систем Windows. Угроза создана с использованием языка программирования C++ и соответствует набору инструментов MinGW-w64 и компилятору GCC. Эксперты по кибербезопасности отмечают, что отказ от использования более типичной Microsoft Visual Studio является необычным выбором и может указывать на то, что хакеры, ответственные за угрозу, использовали устройства, отличные от Windows.

Восстановление данных, затронутых очистителями, такими как CryWiper, может быть затруднено. Вот почему настоятельно рекомендуется регулярно создавать резервные копии и поддерживать все установленные программные средства и решения в области кибербезопасности в актуальном состоянии.