Kaspersky の専門家は、新しいランサムウェアである CryWiper を発見しました。 最初は暗号化ソフトウェアのように機能します。 ただし、データは暗号化されていませんが、ランダムなデータで上書きされます。 身代金を払っても無駄です。
Kaspersky の専門家は、CryWiper と名付けた新しいトロイの木馬による攻撃を発見しました。 一見すると、このマルウェアはランサムウェアのように見えます。ファイルを変更し、ファイルに .CRY 拡張子 (CryWiper に固有) を追加し、ビットコイン ウォレット アドレス、連絡先の電子メール アドレスを含む身代金ノートを含む README.txt ファイルを保存します。マルウェアの作成者と感染 ID。
CryWiper: 暗号化の代わりに上書き
ただし、実際には、このマルウェアはワイパーです。CryWiper によって変更されたファイルは、元の状態に復元することはできません。 そのため、身代金メモとファイルに新しい .CRY 拡張子が付いているのを見た人は、身代金を急いで支払う必要はありません。無意味です。
過去には、作成者が暗号化アルゴリズムを適切に実装しなかったために、誤ってワイパーになってしまったマルウェアの亜種がいくつかありました。 ただし、今回はそうではありません。Kaspersky の専門家は、攻撃者の主な目的は金銭的な利益ではなく、データの破壊であると確信しています。 ファイルは実際には暗号化されていません。 代わりに、トロイの木馬は疑似ランダムに生成されたデータでそれらを上書きします。
CryWiper が本当に狙っているもの
このトロイの木馬は、オペレーティング システムの機能に不可欠ではないすべてのデータを破壊します。 拡張子が .exe、.dll、.lnk、.sys、または .msi のファイルには影響せず、C:\Windows ディレクトリ内のいくつかのシステム フォルダを無視します。 このマルウェアは、データベース、アーカイブ、およびユーザー ドキュメントに重点を置いています。
CryWiper トロイの木馬のしくみ
ファイルの内容をガベージで直接上書きすることに加えて、CryWiper は次のことも行います。
- XNUMX 分ごとにワイパーを再起動するタスク スケジューラでタスクを作成します。
- 感染したコンピューターの名前を C&C サーバーに送信し、攻撃を開始するコマンドを待ちます。
- 以下に関連するプロセスを停止します: MySQL および MS SQL データベース サーバー、MS Exchange メール サーバー、および MS Active Directory Web サービス (そうしないと、一部のファイルへのアクセスがブロックされ、それらを損傷することが不可能になります);
- ファイルのシャドウ コピーを削除して、復元できないようにします (ただし、何らかの理由で C: ドライブのみ)。
- RDP リモート アクセス プロトコルを介した影響を受けるシステムへの接続を無効にします。
後者の目的は完全には明らかではありません。 おそらく、このように無効にすることで、マルウェアの作成者は、影響を受けたマシンへのリモート アクセスを明らかに好むインシデント対応チームの作業を複雑にしようとしていたのでしょう。
カスペルスキーについて Kaspersky は、1997 年に設立された国際的なサイバーセキュリティ企業です。 Kaspersky の脅威インテリジェンスとセキュリティに関する深い専門知識は、革新的なセキュリティ ソリューションとサービスの基盤として機能し、世界中の企業、重要なインフラストラクチャ、政府、および消費者を保護します。 同社の包括的なセキュリティ ポートフォリオには、最先端のエンドポイント プロテクションと、複雑で進化するサイバー脅威から防御するためのさまざまな専門的なセキュリティ ソリューションとサービスが含まれています。 400 億を超えるユーザーと 250.000 の法人顧客がカスペルスキーのテクノロジーによって保護されています。 カスペルスキーの詳細については、www.kaspersky.com/ をご覧ください。