Malvér CryWiper

Aktéri hrozieb používajú úplne nový malvérový nástroj pri cielených útokoch na úrady starostov a súdy v Rusku. Výskumníci z Kaspersky sledujú škodlivú hrozbu ako CryWiper. Ďalšie podrobnosti o útočných kampaniach zverejnila spravodajská služba Izvestija.

CryWiper podľa dostupných informácií predstavuje ransomvérovú hrozbu nasadenú v rámci finančne motivovaného útoku. Hrozba ovplyvní údaje nájdené v narušených počítačových systémoch a ponechá ich v nepoužiteľnom stave. Zamknuté súbory budú mať k ich pôvodným názvom pripojenú „.cry“. Izvestia uvádza, že obetiam sa poskytuje výkupné požadujúce zaplatenie 0,5 BTC (Bitcoin). Pri súčasnom výmennom kurze kryptomeny má výkupné hodnotu viac ako 8500 dolárov. Očakáva sa, že finančné prostriedky budú prevedené na poskytnutú adresu krypto peňaženky.

Obnova dát nie je možná

V skutočnosti však obete CryWiper nebudú môcť obnoviť svoje dáta, aj keď spĺňajú požiadavky útočníkov. Dôvodom je, že CryWiper ničí údaje súborov, ktorých sa týka. Zdá sa, že táto funkcia nie je výsledkom chybného programovania a je skôr zamýšľaným dôsledkom spustenia CryWiper. Experti zistili, že algoritmus použitý na zničenie údajov obetí je Mersenne Vortex PRNG. Toto je zriedka používaná voľba, ktorá sa vyskytuje u niekoľkých malvérových hrozieb, pričom jedným z takýchto príkladov je IsaacWiper. CryWiper by sa mohol pripojiť aj k hrozbám ransomvéru Xorist a MSIL Agent, pretože všetky tri používajú na kontakt rovnaké e-mailové adresy.

Ďalšie podrobnosti

CryWiper sa šíri ako 64-bitový spustiteľný súbor zameraný na systémy Windows. Hrozba bola vytvorená pomocou programovacieho jazyka C++ a bola v súlade so súpravou nástrojov MinGW-w64 a kompilátorom GCC. Odborníci na kybernetickú bezpečnosť poukazujú na to, že nepoužívanie bežnejšieho Microsoft Visual Studio je nezvyčajná voľba a môže signalizovať, že hackeri zodpovední za hrozbu používali zariadenia, ktoré nie sú Windows.

Obnovenie údajov ovplyvnených stieračmi, ako je CryWiper, môže byť náročné. Preto sa dôrazne odporúča vytvárať pravidelné zálohy a udržiavať všetky nainštalované softvérové nástroje a riešenia kybernetickej bezpečnosti aktuálne.