Gli esperti di Kaspersky hanno scoperto un nuovo ransomware: CryWiper. Inizialmente agisce come un software di crittografia. Ma i dati non sono crittografati, ma sovrascritti con dati casuali. Pagare il riscatto è inutile.
Gli esperti di Kaspersky hanno scoperto un attacco di un nuovo Trojan, che hanno soprannominato CryWiper. A prima vista, questo malware sembra un ransomware: modifica i file, aggiunge un'estensione .CRY (unica di CryWiper) e salva un file README.txt con una richiesta di riscatto contenente l'indirizzo del portafoglio Bitcoin, l'indirizzo e-mail di contatto dei creatori di malware e l'ID dell'infezione.
CryWiper: sovrascrittura anziché crittografia
In realtà, però, questo malware è un tergicristallo: un file modificato da CryWiper non può mai essere ripristinato allo stato originale. Quindi, chiunque veda una richiesta di riscatto e i file hanno una nuova estensione .CRY, non abbiate fretta di pagare il riscatto: è inutile.
In passato, ci sono stati alcuni ceppi di malware che sono diventati accidentalmente wiper, a causa di errori commessi dai loro creatori che hanno implementato in modo inadeguato gli algoritmi di crittografia. Tuttavia, questa volta non è così: gli esperti di Kaspersky sono fiduciosi che l'obiettivo principale degli aggressori non sia il guadagno finanziario, ma la distruzione dei dati. I file non sono effettivamente crittografati; Invece, il Trojan li sovrascrive con dati generati in modo pseudo-casuale.
Ciò che CryWiper sta davvero cercando
Il Trojan corrompe tutti i dati che non sono vitali per il funzionamento del sistema operativo. Non influisce sui file con estensione .exe, .dll, .lnk, .sys o .msi e ignora diverse cartelle di sistema nella directory C:\Windows. Il malware si concentra su database, archivi e documenti degli utenti.
Come funziona il trojan CryWiper
Oltre a sovrascrivere direttamente il contenuto dei file con spazzatura, CryWiper fa anche quanto segue:
- creare un'attività con l'utilità di pianificazione che riavvia il tergicristallo ogni cinque minuti;
- invia il nome del computer infetto al server C&C e attende un comando per lanciare un attacco;
- blocca i processi relativi a: database server MySQL e MS SQL, server di posta MS Exchange e servizi web MS Active Directory (altrimenti l'accesso ad alcuni file verrebbe bloccato e sarebbe impossibile danneggiarli);
- elimina le copie shadow dei file in modo che non possano essere recuperate (ma solo su C: drive per qualche motivo);
- disabilita la connessione al sistema interessato tramite il protocollo di accesso remoto RDP.
Lo scopo di quest'ultimo non è del tutto chiaro. Forse, disabilitandolo in questo modo, gli autori del malware hanno cercato di complicare il lavoro del team di risposta agli incidenti, che preferirebbe chiaramente l'accesso remoto alla macchina interessata, invece avrebbe bisogno di un accesso fisico ad essa.
A proposito di Kaspersky Kaspersky è una società internazionale di sicurezza informatica fondata nel 1997. La profonda competenza in materia di sicurezza e intelligence sulle minacce di Kaspersky funge da base per soluzioni e servizi di sicurezza innovativi per proteggere aziende, infrastrutture critiche, governi e consumatori in tutto il mondo. L'ampio portafoglio di sicurezza dell'azienda comprende la protezione degli endpoint leader e una gamma di soluzioni e servizi di sicurezza specializzati per difendersi da minacce informatiche complesse e in continua evoluzione. Oltre 400 milioni di utenti e 250.000 clienti aziendali sono protetti dalle tecnologie Kaspersky. Maggiori informazioni su Kaspersky su www.kaspersky.com/