Експерти Kaspersky виявили нову програму-вимагач: CryWiper. Спочатку він діє як програмне забезпечення для шифрування. Але дані не шифруються, а перезаписуються випадковими даними. Платити викуп марно.
Фахівці Касперського виявили атаку нового трояна, який вони назвали CryWiper. На перший погляд, це зловмисне програмне забезпечення виглядає як програма-вимагач: воно змінює файли, додає до них розширення .CRY (унікальне для CryWiper) і зберігає файл README.txt із повідомленням про викуп, що містить адресу гаманця Bitcoin, контактну адресу електронної пошти. творців шкідливого програмного забезпечення та ідентифікатор зараження.
CryWiper: перезапис замість шифрування
Однак насправді це шкідливе програмне забезпечення є очисником: файл, змінений CryWiper, ніколи не можна відновити до початкового стану. Тому, хто побачить записку про викуп і файли мають нове розширення .CRY, не поспішайте платити викуп – це безглуздо.
У минулому були деякі штами зловмисного програмного забезпечення, які випадково ставали склоочисниками — через помилки їхніх творців, які погано реалізували алгоритми шифрування. Однак цього разу це не так: фахівці Касперського впевнені, що головною метою зловмисників є не фінансова вигода, а знищення даних. Файли насправді не зашифровані; Натомість троян перезаписує їх псевдовипадково згенерованими даними.
Те, за чим насправді полює CryWiper
Троян пошкоджує всі дані, які не життєво важливі для функціонування операційної системи. Це не впливає на файли з розширеннями .exe, .dll, .lnk, .sys або .msi та ігнорує кілька системних папок у каталозі C:\Windows. Шкідлива програма зосереджена на базах даних, архівах і документах користувачів.
Як працює троян CryWiper
Окрім безпосереднього перезапису вмісту файлів сміттям, CryWiper також виконує наступне:
- створити завдання за допомогою планувальника завдань, який перезапускає склоочисник кожні п’ять хвилин;
- надсилає ім'я зараженого комп'ютера на C&C сервер і чекає команди для початку атаки;
- зупиняє процеси, пов'язані з: серверами баз даних MySQL і MS SQL, поштовими серверами MS Exchange і веб-сервісами MS Active Directory (інакше доступ до деяких файлів буде заблокований і їх неможливо буде пошкодити);
- видаляє тіньові копії файлів, тому їх неможливо відновити (але чомусь лише на диску C:);
- вимикає підключення до ураженої системи через протокол віддаленого доступу RDP.
Призначення останнього не зовсім зрозуміле. Можливо, вимкнувши його таким чином, автори зловмисного програмного забезпечення намагалися ускладнити роботу групи реагування на інциденти, яка явно віддасть перевагу віддаленому доступу до ураженої машини — натомість їм потрібно буде надати до неї фізичний доступ.
Про Касперського Kaspersky — міжнародна компанія з кібербезпеки, заснована в 1997 році. Глибокий досвід Kaspersky у сфері аналізу загроз і безпеки служить основою для інноваційних рішень і послуг безпеки для захисту бізнесу, критичної інфраструктури, урядів і споживачів у всьому світі. Комплексне портфоліо безпеки компанії включає провідний захист кінцевих точок і низку спеціалізованих рішень і послуг безпеки для захисту від складних і нових кіберзагроз. Понад 400 мільйонів користувачів і 250.000 XNUMX корпоративних клієнтів захищені технологіями Касперського. Більше інформації про Kaspersky на www.kaspersky.com/