Kaspersky uzmanları yeni bir fidye yazılımı keşfetti: CryWiper. Başlangıçta şifreleme yazılımı gibi davranır. Ancak veriler şifrelenmez, ancak rastgele verilerle üzerine yazılır. Fidyeyi ödemek işe yaramaz.
Kaspersky uzmanları, CryWiper olarak adlandırdıkları yeni bir Truva Atı saldırısını keşfettiler. İlk bakışta, bu kötü amaçlı yazılım fidye yazılımı gibi görünür: dosyaları değiştirir, bunlara bir .CRY uzantısı (CryWiper'a özgü) ekler ve Bitcoin cüzdan adresini, iletişim e-posta adresini içeren bir fidye notuyla bir README.txt dosyasını kaydeder. kötü amaçlı yazılım oluşturucularının ve bulaşma kimliğinin.
CryWiper: Şifreleme yerine üzerine yaz
Ancak aslında bu kötü amaçlı yazılım bir silicidir: CryWiper tarafından değiştirilen bir dosya hiçbir zaman orijinal durumuna geri yüklenemez. Bu nedenle, bir fidye notu gören ve dosyaların yeni bir .CRY uzantısına sahip olduğunu gören herkes, fidyeyi ödemek için acele etmeyin - bu anlamsız.
Geçmişte, şifreleme algoritmalarını zayıf bir şekilde uygulayan yaratıcıları tarafından yapılan hatalar nedeniyle, yanlışlıkla silici haline gelen bazı kötü amaçlı yazılım türleri olmuştur. Ancak bu kez durum böyle değil: Kaspersky uzmanları, saldırganların asıl amacının finansal kazanç değil, veri imhası olduğundan emin. Dosyalar aslında şifrelenmemiştir; Bunun yerine, Trojan sözde rastgele oluşturulmuş verilerle bunların üzerine yazar.
CryWiper gerçekte ne arıyor?
Trojan, işletim sisteminin çalışması için hayati olmayan tüm verileri bozar. .exe, .dll, .lnk, .sys veya .msi uzantılı dosyaları etkilemez ve C:\Windows dizinindeki çeşitli sistem klasörlerini yok sayar. Kötü amaçlı yazılım veritabanlarına, arşivlere ve kullanıcı belgelerine odaklanır.
CryWiper Truva Atı nasıl çalışır?
Çöp içeren dosyaların içeriğinin üzerine doğrudan yazmaya ek olarak, CryWiper aşağıdakileri de yapar:
- siliciyi her beş dakikada bir yeniden başlatan görev zamanlayıcı ile bir görev oluşturun;
- etkilenen bilgisayarın adını C&C sunucusuna gönderir ve bir saldırı başlatmak için bir komut bekler;
- MySQL ve MS SQL veritabanı sunucuları, MS Exchange posta sunucuları ve MS Active Directory web hizmetleriyle ilgili işlemleri durdurur (aksi takdirde bazı dosyalara erişim engellenir ve bunlara zarar verilmesi imkansız olur);
- dosyaların gölge kopyalarını siler, böylece kurtarılamazlar (ancak herhangi bir nedenle yalnızca C: sürücüsünde);
- RDP uzaktan erişim protokolü aracılığıyla etkilenen sisteme bağlantıyı devre dışı bırakır.
İkincisinin amacı tam olarak açık değil. Belki de kötü amaçlı yazılım yazarları, bu şekilde devre dışı bırakarak, etkilenen makineye uzaktan erişimi açıkça tercih edecek olan olay müdahale ekibinin işini karmaşık hale getirmeye çalıştılar; bunun yerine makineye fiziksel erişim verilmesi gerekecekti.
Kaspersky Hakkında Kaspersky, 1997 yılında kurulmuş uluslararası bir siber güvenlik şirketidir. Kaspersky'nin derin tehdit istihbaratı ve güvenlik uzmanlığı, dünya çapında işletmeleri, kritik altyapıları, hükümetleri ve tüketicileri korumaya yönelik yenilikçi güvenlik çözümlerinin ve hizmetlerinin temelini oluşturur. Şirketin kapsamlı güvenlik portföyü, karmaşık ve gelişen siber tehditlere karşı savunma için lider uç nokta koruması ve bir dizi özel güvenlik çözümü ve hizmeti içerir. 400 milyondan fazla kullanıcı ve 250.000 kurumsal müşteri, Kaspersky teknolojileri tarafından korunmaktadır. www.kaspersky.com/ adresinde Kaspersky hakkında daha fazla bilgi