Зловмисне програмне забезпечення CryWiper

Зловмисники використовують абсолютно нове шкідливе програмне забезпечення для цілеспрямованих атак на мерії та суди в Росії. Шкідлива загроза відстежується дослідниками Kaspersky як CryWiper. Додаткові подробиці про атакувальні кампанії розкрила служба новин "Известия".

Згідно з наявною інформацією, CryWiper представляє собою загрозу-вимагач, розгорнуту в рамках фінансово мотивованої атаки. Загроза вплине на дані, знайдені в зламаних комп’ютерних системах, і залишить їх у непридатному для використання стані. Заблоковані файли матимуть «.cry», прикріплені до їхніх оригінальних імен. «Известия» повідомляють, що жертвам надають лист про викуп з вимогою сплатити 0,5 BTC (Bitcoin). За поточним курсом криптовалюти викуп коштує понад 8500 доларів. Очікується, що кошти будуть перераховані на надану адресу криптогаманця.

Відновлення даних неможливе

Однак насправді жертви CryWiper не зможуть відновити свої дані, навіть якщо вони задовольнять вимоги зловмисників. Причина в тому, що CryWiper знищує дані файлів, на які він впливає. Схоже, що ця функція не є результатом неправильного програмування, а є передбачуваним наслідком виконання CryWiper. Експерти з'ясували, що для знищення даних жертв використовується алгоритм Mersenne Vortex PRNG. Це рідко використовуваний вибір, який зустрічається в кількох загрозах зловмисного програмного забезпечення, одним із таких прикладів є IsaacWiper. CryWiper також може бути пов’язаний із загрозами-вимагачами Xorist і MSIL Agent, оскільки всі три використовують однакові адреси електронної пошти для зв’язку.

Додаткова інформація

CryWiper поширюється як 64-розрядний виконуваний файл, орієнтований на системи Windows. Загроза була створена за допомогою мови програмування C++ і відповідала набору інструментів MinGW-w64 і компілятору GCC. Експерти з кібербезпеки зазначають, що невикористання типовішої Microsoft Visual Studio є незвичним вибором і може означати, що хакери, відповідальні за загрозу, використовували пристрої, відмінні від Windows.

Відновлення даних, уражених очисниками, такими як CryWiper, може бути складним. Саме тому настійно рекомендується регулярно створювати резервні копії та підтримувати всі встановлені програмні засоби та рішення кібербезпеки в актуальному стані.