Malware CryWiper

Aktorët e kërcënimit po përdorin një mjet krejt të ri malware në sulmet e synuara kundër zyrave të kryebashkiakëve dhe gjykatave në Rusi. Kërcënimi me qëllim të keq po gjurmohet si CryWiper nga studiuesit në Kaspersky. Detaje shtesë rreth fushatave të sulmit janë zbuluar nga shërbimi i lajmeve Izvestia.

Sipas informacionit të disponueshëm, CryWiper paraqet si një kërcënim ransomware i vendosur si pjesë e një sulmi të motivuar financiarisht. Kërcënimi do të ndikojë në të dhënat e gjetura në sistemet kompjuterike të shkelura dhe do ta lërë atë në një gjendje të papërdorshme. Skedarët e kyçur do të kenë '.cry' të bashkangjitur me emrat e tyre origjinal. Izvestia raporton se viktimave u jepet një fletë shpërblimi që kërkon pagesën e 0,5 BTC (Bitcoin). Me kursin aktual të kriptomonedhës, shpërblesa vlen më shumë se 8500 dollarë. Fondet pritet të transferohen në adresën e dhënë të kriptovaletit.

Rikuperimi i të dhënave nuk është i mundur

Në realitet, megjithatë, viktimat e CryWiper nuk do të jenë në gjendje të rivendosin të dhënat e tyre, edhe nëse plotësojnë kërkesat e sulmuesve. Arsyeja është se CryWiper shkatërron të dhënat e skedarëve që prek. Ky funksionalitet nuk duket të jetë rezultat i programimit të gabuar dhe përkundrazi është një pasojë e synuar e ekzekutimit të CryWiper. Ekspertët kanë zbuluar se algoritmi i përdorur për shkatërrimin e të dhënave të viktimave është Mersenne Vortex PRNG. Kjo është një zgjedhje e përdorur rrallë e gjetur në disa kërcënime malware, me një shembull të tillë që është IsaacWiper. CryWiper gjithashtu mund të lidhet me kërcënimet e ransomware-it të Xorist dhe MSIL Agent, pasi të tre përdorin të njëjtat adresa emaili për kontakt.

detaje shtese

CryWiper është përhapur si një ekzekutues 64-bit që synon sistemet Windows. Kërcënimi u krijua duke përdorur gjuhën e programimit C++ dhe ishte në përputhje me paketën e veglave MinGW-w64 dhe përpiluesin GCC. Ekspertët e sigurisë kibernetike theksojnë se mospërdorimi më tipik i Microsoft Visual Studio është një zgjedhje e pazakontë dhe mund të sinjalizojë se hakerat përgjegjës për kërcënimin po përdornin pajisje jo Windows.

Rikuperimi i të dhënave të prekura nga fshirëset si CryWiper mund të jetë i vështirë. Kjo është arsyeja pse rekomandohet fuqimisht të krijoni kopje rezervë të rregullt dhe të mbani të përditësuara të gjitha mjetet e instaluara të softuerit dhe zgjidhjet e sigurisë kibernetike.