Threat Database Malware Phần mềm độc hại CryWiper

Phần mềm độc hại CryWiper

Những kẻ đe dọa đang sử dụng một công cụ phần mềm độc hại hoàn toàn mới trong các cuộc tấn công có chủ đích nhằm vào văn phòng thị trưởng và tòa án ở Nga. Các mối đe dọa độc hại đang được các nhà nghiên cứu tại Kaspersky theo dõi là CryWiper. Chi tiết bổ sung về các chiến dịch tấn công đã được tiết lộ bởi dịch vụ tin tức Izvestia.

Theo thông tin có sẵn, CryWiper đóng vai trò là một mối đe dọa ransomware được triển khai như một phần của cuộc tấn công có động cơ tài chính. Mối đe dọa sẽ tác động đến dữ liệu được tìm thấy trên các hệ thống máy tính bị vi phạm và khiến nó ở trạng thái không sử dụng được. Các tệp bị khóa sẽ có '.cry' được đính kèm với tên ban đầu của chúng. Izvestia báo cáo rằng các nạn nhân được cung cấp một ghi chú đòi tiền chuộc yêu cầu thanh toán 0,5 BTC (Bitcoin). Theo tỷ giá hối đoái hiện tại của tiền điện tử, khoản tiền chuộc trị giá hơn 8500 đô la. Số tiền dự kiến sẽ được chuyển đến địa chỉ ví tiền điện tử được cung cấp.

Phục hồi dữ liệu là không thể

Tuy nhiên, trên thực tế, nạn nhân của CryWiper sẽ không thể khôi phục dữ liệu của họ, ngay cả khi họ đáp ứng yêu cầu của những kẻ tấn công. Lý do là CryWiper phá hủy dữ liệu của các tệp mà nó ảnh hưởng. Chức năng này dường như không phải là kết quả của việc lập trình bị lỗi mà thay vào đó là hậu quả dự kiến của quá trình thực thi CryWiper. Các chuyên gia đã phát hiện ra rằng thuật toán được sử dụng để phá hủy dữ liệu của nạn nhân là Mersenne Vortex PRNG. Đây là một lựa chọn hiếm khi được sử dụng trong một số mối đe dọa phần mềm độc hại, với một ví dụ như vậy là IsaacWiper. CryWiper cũng có thể được kết nối với các mối đe dọa ransomware Xorist và MSIL Agent, vì cả ba đều sử dụng cùng một địa chỉ email để liên hệ.

Chi tiết bổ sung

CryWiper được phát tán dưới dạng một hệ thống Windows nhắm mục tiêu có thể thực thi được 64-bit. Mối đe dọa được tạo bằng ngôn ngữ lập trình C++ và tuân theo bộ công cụ MinGW-w64 và trình biên dịch GCC. Các chuyên gia an ninh mạng chỉ ra rằng việc không sử dụng Microsoft Visual Studio điển hình hơn là một lựa chọn bất thường và có thể báo hiệu rằng tin tặc chịu trách nhiệm về mối đe dọa đang sử dụng các thiết bị không phải Windows.

Việc khôi phục dữ liệu bị ảnh hưởng bởi các công cụ gạt nước như CryWiper có thể khó khăn. Đó là lý do tại sao chúng tôi đặc biệt khuyên bạn nên tạo các bản sao lưu thường xuyên và luôn cập nhật tất cả các công cụ phần mềm và giải pháp an ninh mạng đã cài đặt.

xu hướng

Đang tải...