CryWiper 恶意软件
威胁行为者正在使用一种全新的恶意软件工具对俄罗斯的市长办公室和法院进行有针对性的攻击。卡巴斯基的研究人员将该恶意威胁追踪为 CryWiper。新闻服务 Izvestia 透露了有关攻击活动的更多细节。
根据现有信息,CryWiper 构成勒索软件威胁,作为出于经济动机的攻击的一部分而部署。该威胁将影响在被破坏的计算机系统上发现的数据,并使其处于无法使用的状态。锁定的文件将在其原始名称后附加“.cry”。 Izvestia 报道称,受害者收到了一张赎金票据,要求支付 0.5 BTC(比特币)。按照加密货币的当前汇率,赎金价值超过 8500 美元。预计资金将转移到提供的加密钱包地址。
无法恢复数据
然而实际上,CryWiper 的受害者将无法恢复他们的数据,即使他们满足了攻击者的要求。原因是 CryWiper 破坏了它影响的文件的数据。此功能似乎不是错误编程的结果,而是 CryWiper 执行的预期结果。专家发现,用于销毁受害者数据的算法是 Mersenne Vortex PRNG。这是在少数恶意软件威胁中很少使用的选择,其中一个例子是 IsaacWiper。 CryWiper 也可能与 Xorist 和 MSIL Agent 勒索软件威胁有关,因为这三者都使用相同的电子邮件地址进行联系。
额外细节
CryWiper 作为针对 Windows 系统的 64 位可执行文件传播。该威胁是使用 C++ 编程语言创建的,并符合 MinGW-w64 工具包和 GCC 编译器。网络安全专家指出,不使用更典型的 Microsoft Visual Studio 是一个不寻常的选择,可能表明对威胁负责的黑客使用的是非 Windows 设备。
恢复受擦除器(如 CryWiper)影响的数据可能很困难。这就是为什么强烈建议创建定期备份并使所有已安装的软件工具和网络安全解决方案保持最新状态的原因。
