Les experts de Kaspersky ont découvert un nouveau rançongiciel : CryWiper. Il agit initialement comme un logiciel de cryptage. Mais les données ne sont pas cryptées, mais écrasées par des données aléatoires. Payer la rançon ne sert à rien.
Les experts de Kaspersky ont découvert une attaque par un nouveau cheval de Troie, qu'ils ont baptisé CryWiper. À première vue, ce malware ressemble à un rançongiciel : il modifie les fichiers, leur ajoute une extension .CRY (unique à CryWiper), et enregistre un fichier README.txt avec une note de rançon contenant l'adresse du portefeuille Bitcoin, l'adresse e-mail de contact des créateurs de logiciels malveillants et l'ID d'infection.
CryWiper : écraser au lieu de crypter
En fait, cependant, ce malware est un essuie-glace : un fichier modifié par CryWiper ne peut jamais être restauré dans son état d'origine. Donc, quiconque voit une note de rançon et les fichiers ont une nouvelle extension .CRY, ne vous précipitez pas pour payer la rançon - c'est inutile.
Dans le passé, certaines souches de logiciels malveillants sont accidentellement devenues des essuie-glaces - en raison d'erreurs commises par leurs créateurs qui ont mal implémenté les algorithmes de chiffrement. Cependant, cette fois ce n'est pas le cas : les experts de Kaspersky sont convaincus que l'objectif principal des attaquants n'est pas le gain financier, mais la destruction des données. Les fichiers ne sont pas réellement cryptés ; Au lieu de cela, le cheval de Troie les écrase avec des données générées de manière pseudo-aléatoire.
Ce que CryWiper recherche vraiment
Le cheval de Troie corrompt toutes les données qui ne sont pas vitales pour le fonctionnement du système d'exploitation. Il n'affecte pas les fichiers avec les extensions .exe, .dll, .lnk, .sys ou .msi et ignore plusieurs dossiers système dans le répertoire C:\Windows. Le malware se concentre sur les bases de données, les archives et les documents des utilisateurs.
Comment fonctionne le cheval de Troie CryWiper
En plus d'écraser directement le contenu des fichiers avec des ordures, CryWiper fait également ce qui suit :
- créer une tâche avec le planificateur de tâches qui redémarre l'essuie-glace toutes les cinq minutes ;
- envoie le nom de l'ordinateur infecté au serveur C&C et attend une commande pour lancer une attaque ;
- arrête les processus liés aux : serveurs de bases de données MySQL et MS SQL, serveurs de messagerie MS Exchange et services Web MS Active Directory (sinon l'accès à certains fichiers serait bloqué et il serait impossible de les endommager) ;
- supprime les clichés instantanés des fichiers afin qu'ils ne puissent pas être récupérés (mais uniquement sur le lecteur C: pour une raison quelconque);
- désactive la connexion au système concerné via le protocole d'accès à distance RDP.
Le but de ce dernier n'est pas tout à fait clair. Peut-être qu'en le désactivant de cette manière, les auteurs du logiciel malveillant essayaient de compliquer le travail de l'équipe de réponse aux incidents, qui préférerait clairement un accès à distance à la machine affectée - ils auraient plutôt besoin d'un accès physique à celle-ci.
À propos de Kaspersky Kaspersky est une société internationale de cybersécurité fondée en 1997. L'expertise approfondie de Kaspersky en matière de renseignements sur les menaces et de sécurité sert de base à des solutions et des services de sécurité innovants pour protéger les entreprises, les infrastructures critiques, les gouvernements et les consommateurs du monde entier. Le portefeuille de sécurité complet de la société comprend une protection des terminaux de pointe et une gamme de solutions et de services de sécurité spécialisés pour se défendre contre les cybermenaces complexes et évolutives. Plus de 400 millions d'utilisateurs et 250.000 XNUMX entreprises clientes sont protégées par les technologies Kaspersky. Plus d'informations sur Kaspersky sur www.kaspersky.com/