Zlonamerna programska oprema CryWiper

Akterji groženj uporabljajo popolnoma novo orodje zlonamerne programske opreme za ciljane napade na županske urade in sodišča v Rusiji. Raziskovalci družbe Kaspersky zlonamerni grožnji sledijo kot CryWiper. Dodatne podrobnosti o napadih je razkrila tiskovna služba Izvestia.

Po razpoložljivih informacijah CryWiper predstavlja grožnjo izsiljevalske programske opreme, ki je uporabljena kot del finančno motiviranega napada. Grožnja bo vplivala na podatke, najdene v poškodovanih računalniških sistemih, in jih pustila v neuporabnem stanju. Zaklenjenim datotekam bo prvotnim imenom pripet ».cry«. Izvestia poroča, da žrtve dobijo obvestilo o odkupnini, ki zahteva plačilo 0,5 BTC (Bitcoin). Po trenutnem tečaju kriptovalute je odkupnina vredna več kot 8500 dolarjev. Pričakuje se, da bodo sredstva nakazana na navedeni naslov kriptodenarnice.

Obnovitev podatkov ni mogoča

V resnici pa žrtve CryWiperja ne bodo mogle obnoviti svojih podatkov, tudi če izpolnjujejo zahteve napadalcev. Razlog je v tem, da CryWiper uniči podatke datotek, na katere vpliva. Zdi se, da ta funkcionalnost ni posledica napačnega programiranja, ampak je namesto tega predvidena posledica izvajanja CryWiperja. Strokovnjaki so odkrili, da je algoritem, uporabljen za uničenje podatkov žrtev, Mersenne Vortex PRNG. To je redko uporabljena izbira, ki jo najdemo v nekaj grožnjah z zlonamerno programsko opremo, eden takih primerov je IsaacWiper. CryWiper bi lahko bil povezan tudi z grožnjami izsiljevalske programske opreme Xorist in MSIL Agent, saj vse tri za stik uporabljajo iste e-poštne naslove.

Dodatne podrobnosti

CryWiper je razširjen kot 64-bitna izvršljiva datoteka, namenjena sistemom Windows. Grožnja je bila ustvarjena s programskim jezikom C++ in je bila v skladu s kompletom orodij MinGW-w64 in prevajalnikom GCC. Strokovnjaki za kibernetsko varnost poudarjajo, da je neuporaba bolj tipičnega programa Microsoft Visual Studio neobičajna izbira in bi lahko pomenila, da so hekerji, odgovorni za grožnjo, uporabljali naprave, ki niso Windows.

Obnovitev podatkov, ki so jih prizadeli brisalci, kot je CryWiper, je lahko težavna. Zato je zelo priporočljivo, da redno izdelujete varnostne kopije in posodabljate vsa nameščena programska orodja in rešitve kibernetske varnosti.