มัลแวร์ CryWiper

นักคุกคามกำลังใช้เครื่องมือมัลแวร์ใหม่ล่าสุดในการโจมตีแบบกำหนดเป้าหมายต่อสำนักงานและศาลของนายกเทศมนตรีในรัสเซีย ภัยคุกคามที่เป็นอันตรายกำลังถูกติดตามในชื่อ CryWiper โดยนักวิจัยที่ Kaspersky รายละเอียดเพิ่มเติมเกี่ยวกับการโจมตีได้รับการเปิดเผยโดยบริการข่าว Izvestia

ตามข้อมูลที่มีอยู่ CryWiper โพสท่าเป็นภัยคุกคามแรนซัมแวร์ที่ปรับใช้เป็นส่วนหนึ่งของการโจมตีที่มีแรงจูงใจทางการเงิน ภัยคุกคามจะส่งผลกระทบต่อข้อมูลที่พบในระบบคอมพิวเตอร์ที่ถูกละเมิดและปล่อยให้อยู่ในสถานะใช้งานไม่ได้ ไฟล์ที่ถูกล็อกจะมี '.cry' ต่อท้ายชื่อเดิม Izvestia รายงานว่าผู้ที่ตกเป็นเหยื่อจะได้รับธนบัตรเรียกค่าไถ่ 0.5 BTC (Bitcoin) ที่อัตราแลกเปลี่ยนปัจจุบันของสกุลเงินดิจิทัล ค่าไถ่มีมูลค่ามากกว่า $8500 คาดว่าเงินจะถูกโอนไปยังที่อยู่ cryptowallet ที่ให้ไว้

ไม่สามารถกู้คืนข้อมูลได้

อย่างไรก็ตาม ในความเป็นจริง ผู้ที่ตกเป็นเหยื่อของ CryWiper จะไม่สามารถกู้คืนข้อมูลของตนได้ แม้ว่าจะตอบสนองความต้องการของผู้โจมตีก็ตาม เหตุผลคือ CryWiper ทำลายข้อมูลของไฟล์ที่ได้รับผลกระทบ ฟังก์ชันนี้ไม่ได้เป็นผลมาจากการเขียนโปรแกรมที่ผิดพลาด แต่เป็นผลจากการดำเนินการของ CryWiper แทน ผู้เชี่ยวชาญได้ค้นพบว่าอัลกอริธึมที่ใช้ในการทำลายข้อมูลของเหยื่อคือ Mersenne Vortex PRNG นี่เป็นตัวเลือกที่ไม่ค่อยใช้ซึ่งพบได้ในภัยคุกคามจากมัลแวร์เพียงไม่กี่ตัว เช่น IsaacWiper CryWiper ยังสามารถเชื่อมต่อกับภัยคุกคามแรนซัมแวร์ Xorist และ MSIL Agent เนื่องจากทั้งสามใช้ที่อยู่อีเมลเดียวกันในการติดต่อ

รายละเอียดเพิ่มเติม

CryWiper แพร่กระจายเป็นระบบ Windows เป้าหมายปฏิบัติการ 64 บิต ภัยคุกคามถูกสร้างขึ้นโดยใช้ภาษาโปรแกรม C++ และสอดคล้องกับชุดเครื่องมือ MinGW-w64 และคอมไพเลอร์ GCC ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ชี้ให้เห็นว่าการไม่ใช้ Microsoft Visual Studio ทั่วไปเป็นทางเลือกที่ผิดปกติและอาจส่งสัญญาณว่าแฮ็กเกอร์ที่รับผิดชอบต่อภัยคุกคามนั้นกำลังใช้อุปกรณ์ที่ไม่ใช่ Windows

การกู้คืนข้อมูลที่ได้รับผลกระทบจากไวเปอร์ เช่น CryWiper อาจทำได้ยาก นั่นเป็นเหตุผลว่าทำไมจึงแนะนำอย่างยิ่งให้สร้างการสำรองข้อมูลเป็นประจำและเพื่อให้เครื่องมือซอฟต์แวร์ที่ติดตั้งทั้งหมดและโซลูชั่นความปลอดภัยทางไซเบอร์เป็นปัจจุบันอยู่เสมอ