CryWiper Kötü Amaçlı Yazılımı

Tehdit aktörleri, Rusya'daki belediye başkanlarının ofislerine ve mahkemelere yönelik hedefli saldırılarda yepyeni bir kötü amaçlı yazılım aracı kullanıyor. Kötü amaçlı tehdit, Kaspersky araştırmacıları tarafından CryWiper olarak izleniyor. Saldırı kampanyalarıyla ilgili ek ayrıntılar Izvestia haber servisi tarafından açıklandı.

Eldeki bilgilere göre CryWiper, finansal amaçlı bir saldırının parçası olarak dağıtılan bir fidye yazılımı tehdidi gibi görünüyor. Tehdit, ihlal edilen bilgisayar sistemlerinde bulunan verileri etkileyecek ve kullanılamaz bir durumda bırakacaktır. Kilitli dosyaların orijinal adlarına eklenmiş '.cry' olacaktır. Izvestia, kurbanlara 0,5 BTC (Bitcoin) ödenmesini talep eden bir fidye notu verildiğini bildirdi. Kripto para biriminin mevcut döviz kurunda fidyenin değeri 8500 dolardan fazladır. Fonların sağlanan kripto cüzdan adresine aktarılması bekleniyor.

Veri Kurtarma Mümkün Değil

Ancak gerçekte CryWiper kurbanları, saldırganların taleplerini karşılasalar bile verilerini kurtaramazlar. Bunun nedeni, CryWiper'ın etkilediği dosyaların verilerini yok etmesidir. Bu işlevsellik, hatalı programlamanın bir sonucu gibi görünmüyor ve bunun yerine CryWiper'ın yürütülmesinin amaçlanan bir sonucudur. Uzmanlar, kurbanların verilerinin yok edilmesi için kullanılan algoritmanın Mersenne Vortex PRNG olduğunu keşfetti. Bu, birkaç kötü amaçlı yazılım tehdidinde nadiren kullanılan bir seçimdir ve böyle bir örnek IsaacWiper'dır. CryWiper, Xorist ve MSIL Agent fidye yazılımı tehditlerine de bağlanabilir, çünkü üçü de iletişim için aynı e-posta adreslerini kullanır.

ek detaylar

CryWiper, Windows sistemlerini hedefleyen 64 bitlik bir yürütülebilir dosya olarak yayılır. Tehdit, C++ programlama dili kullanılarak oluşturuldu ve MinGW-w64 araç takımı ve GCC derleyicisine uygun hale getirildi. Siber güvenlik uzmanları, daha tipik Microsoft Visual Studio'yu kullanmamanın sıra dışı bir seçim olduğuna ve tehditten sorumlu bilgisayar korsanlarının Windows dışı cihazlar kullandıklarına işaret edebileceğine dikkat çekiyor.

CryWiper gibi silicilerden etkilenen verileri kurtarmak zor olabilir. Bu nedenle, düzenli yedeklemeler oluşturmanız ve kurulu tüm yazılım araçlarının ve siber güvenlik çözümlerinin güncel tutulması şiddetle tavsiye edilir.