Los expertos de Kaspersky han descubierto un nuevo ransomware: CryWiper. Inicialmente actúa como un software de encriptación. Pero los datos no se cifran, sino que se sobrescriben con datos aleatorios. Pagar el rescate es inútil.
Los expertos de Kaspersky han descubierto el ataque de un nuevo troyano, al que han bautizado como CryWiper. A primera vista, este malware parece ransomware: modifica archivos, les agrega una extensión .CRY (exclusiva de CryWiper) y guarda un archivo README.txt con una nota de rescate que contiene la dirección de la billetera Bitcoin, la dirección de correo electrónico de contacto de los creadores de malware y el ID de infección.
CryWiper: sobrescribir en lugar de cifrar
De hecho, sin embargo, este malware es un limpiador: un archivo modificado por CryWiper nunca se puede restaurar a su estado original. Por lo tanto, cualquier persona que vea una nota de rescate y los archivos tengan una nueva extensión .CRY, no se apresure a pagar el rescate, no tiene sentido.
En el pasado, ha habido algunas cepas de malware que accidentalmente se convirtieron en limpiaparabrisas, debido a errores cometidos por sus creadores que implementaron mal los algoritmos de cifrado. Sin embargo, esta vez no es el caso: los expertos de Kaspersky confían en que el objetivo principal de los atacantes no es la ganancia económica, sino la destrucción de datos. Los archivos en realidad no están encriptados; En su lugar, el troyano los sobrescribe con datos generados de forma pseudoaleatoria.
Lo que CryWiper realmente está buscando
El troyano corrompe todos los datos que no son vitales para el funcionamiento del sistema operativo. No afecta a los archivos con extensiones .exe, .dll, .lnk, .sys o .msi e ignora varias carpetas del sistema en el directorio C:\Windows. El malware se centra en bases de datos, archivos y documentos de usuario.
Cómo funciona el troyano CryWiper
Además de sobrescribir directamente el contenido de los archivos con basura, CryWiper también hace lo siguiente:
- cree una tarea con el programador de tareas que reinicie el limpiador cada cinco minutos;
- envía el nombre de la computadora infectada al servidor C&C y espera un comando para lanzar un ataque;
- detiene los procesos relacionados con: servidores de bases de datos MySQL y MS SQL, servidores de correo MS Exchange y servicios web MS Active Directory (de lo contrario, se bloquearía el acceso a algunos archivos y sería imposible dañarlos);
- elimina las instantáneas de los archivos para que no se puedan recuperar (pero solo en la unidad C: por alguna razón);
- deshabilita la conexión al sistema afectado a través del protocolo de acceso remoto RDP.
El propósito de este último no está del todo claro. Quizás, al deshabilitarlo de esta manera, los autores del malware intentaron complicar el trabajo del equipo de respuesta a incidentes, que claramente preferiría el acceso remoto a la máquina afectada; en su lugar, tendrían que tener acceso físico a ella.
Acerca de Kaspersky Kaspersky es una empresa internacional de ciberseguridad fundada en 1997. La profunda inteligencia de amenazas y la experiencia en seguridad de Kaspersky sirven como base para soluciones y servicios de seguridad innovadores para proteger empresas, infraestructura crítica, gobiernos y consumidores en todo el mundo. La cartera de seguridad integral de la empresa incluye una protección líder para puntos finales y una variedad de soluciones y servicios de seguridad especializados para defenderse contra amenazas cibernéticas complejas y en constante evolución. Más de 400 millones de usuarios y 250.000 XNUMX clientes corporativos están protegidos por las tecnologías de Kaspersky. Más información sobre Kaspersky en www.kaspersky.com/