CryWiper 惡意軟件
威脅行為者正在使用一種全新的惡意軟件工具對俄羅斯的市長辦公室和法院進行有針對性的攻擊。卡巴斯基的研究人員將該惡意威脅追踪為 CryWiper。新聞服務 Izvestia 透露了有關攻擊活動的更多細節。
根據現有信息,CryWiper 構成勒索軟件威脅,作為出於經濟動機的攻擊的一部分而部署。該威脅將影響在被破壞的計算機系統上發現的數據,並使其處於無法使用的狀態。鎖定的文件將在其原始名稱後附加“.cry”。 Izvestia 報導稱,受害者收到了一張贖金票據,要求支付 0.5 BTC(比特幣)。按照加密貨幣的當前匯率,贖金價值超過 8500 美元。預計資金將轉移到提供的加密錢包地址。
無法恢復數據
然而實際上,CryWiper 的受害者將無法恢復他們的數據,即使他們滿足了攻擊者的要求。原因是 CryWiper 破壞了它影響的文件的數據。此功能似乎不是錯誤編程的結果,而是 CryWiper 執行的預期結果。專家發現,用於銷毀受害者數據的算法是 Mersenne Vortex PRNG。這是在少數惡意軟件威脅中很少使用的選擇,其中一個例子是 IsaacWiper。 CryWiper 也可能與 Xorist 和 MSIL Agent 勒索軟件威脅有關,因為這三者都使用相同的電子郵件地址進行聯繫。
額外細節
CryWiper 作為針對 Windows 系統的 64 位可執行文件傳播。該威脅是使用 C++ 編程語言創建的,並符合 MinGW-w64 工具包和 GCC 編譯器。網絡安全專家指出,不使用更典型的 Microsoft Visual Studio 是一個不尋常的選擇,可能表明對威脅負責的黑客使用的是非 Windows 設備。
恢復受擦除器(如 CryWiper)影響的數據可能很困難。這就是為什麼強烈建議創建定期備份並使所有已安裝的軟件工具和網絡安全解決方案保持最新狀態的原因。
