CryWiper Malware

Gumagamit ang mga aktor ng pagbabanta ng bagong malware tool sa mga target na pag-atake laban sa mga opisina at korte ng alkalde sa Russia. Ang malisyosong banta ay sinusubaybayan bilang CryWiper ng mga mananaliksik sa Kaspersky. Ang mga karagdagang detalye tungkol sa mga kampanya ng pag-atake ay inihayag ng serbisyo ng balita na Izvestia.

Ayon sa magagamit na impormasyon, ang CryWiper ay nagpapanggap bilang isang banta sa ransomware na ipinakalat bilang bahagi ng isang pag-atake na may kinalaman sa pananalapi. Maaapektuhan ng banta ang data na makikita sa mga nalabag na sistema ng computer at iiwan ito sa hindi nagagamit na estado. Ang mga naka-lock na file ay magkakaroon ng '.cry' na nakakabit sa kanilang mga orihinal na pangalan. Iniulat ng Izvestia na ang mga biktima ay binibigyan ng ransom note na humihingi ng pagbabayad ng 0.5 BTC (Bitcoin). Sa kasalukuyang exchange rate ng cryptocurrency ang ransom ay nagkakahalaga ng higit sa $8500. Ang mga pondo ay inaasahang ililipat sa ibinigay na cryptowallet address.

Hindi Posible ang Data Recovery

Gayunpaman, sa katotohanan, hindi maibabalik ng mga biktima ng CryWiper ang kanilang data, kahit na matugunan nila ang mga hinihingi ng mga umaatake. Ang dahilan ay sinisira ng CryWiper ang data ng mga file na naaapektuhan nito. Ang functionality na ito ay hindi lumilitaw na resulta ng maling programming at sa halip ay isang nilalayong resulta ng pagpapatupad ng CryWiper. Natuklasan ng mga eksperto na ang algorithm na ginamit para sa pagsira ng data ng mga biktima ay Mersenne Vortex PRNG. Ito ay isang bihirang ginagamit na pagpipilian na makikita sa ilang mga banta sa malware, na ang isang halimbawa ay IsaacWiper. Ang CryWiper ay maaari ding konektado sa mga banta ng Xorist at MSIL Agent ransomware, dahil lahat ng tatlo ay gumagamit ng parehong mga email address para sa pakikipag-ugnayan.

Karagdagang Detalye

Ang CryWiper ay kumakalat bilang isang 64-bit executable na pag-target sa mga Windows system. Ang banta ay nilikha gamit ang C++ programming language at sumunod sa MinGW-w64 toolkit at sa GCC compiler. Itinuturo ng mga eksperto sa cybersecurity na ang hindi paggamit ng mas karaniwang Microsoft Visual Studio ay isang hindi pangkaraniwang pagpipilian at maaaring magsenyas na ang mga hacker na responsable para sa banta ay gumagamit ng mga non-Windows na device.

Maaaring maging mahirap ang pagbawi ng data na apektado ng mga wiper gaya ng CryWiper. Iyon ang dahilan kung bakit mahigpit na inirerekomendang gumawa ng mga regular na backup at panatilihing napapanahon ang lahat ng naka-install na software tool at mga solusyon sa cybersecurity.