Oprogramowanie ransomware BlackMatter przestaje działać z powodu nacisków policji

Organizacje publiczne w Rosji, w tym gminy i sądy, są celem zupełnie nowego i raczej podstępnego wariantu szkodliwego oprogramowania.

CryWiper podszywa się pod ransomware i próbuje wyłudzić pieniądze od ofiar (0,5 bitcoina, czyli około 9000 XNUMX $ według prasy), ale jego celem nie jest zarobienie pieniędzy, ale zniszczenie wszystkich plików znalezionych na zainfekowanym terminalu.

Analitycy ds. cyberbezpieczeństwa z firmy Kaspersky donoszą o „wyjątkowych” cyberatakach w Rosji, w których zainfekowanym plikom nadawane jest nowe rozszerzenie: .cry (stąd nazwa CryWiper). Chociaż lokalne media podały, że napastnicy zaatakowali biura burmistrza i sądy kraju, nie jest jasne, ile dokładnie podmiotów udało im się skompromitować.

Rosjanie celują w Rosjan?

Wiemy natomiast, że to złośliwe oprogramowanie ma wspólne cechy z dwoma innymi szczepami złośliwego oprogramowania: Trojan-Ransom.Win32.Xorist i Trojan-Ransom.MSIL.Agent. Wszyscy mają ten sam adres e-mail wymieniony w żądaniu okupu. Xorist został po raz pierwszy zauważony w 2010 roku i jest opisany jako rodzina oprogramowania ransomware dla systemu Windows, którego celem są rosyjsko- i anglojęzyczni użytkownicy.

CryWiper został napisany w C++, co według Ars Technica jest nietypowym wyborem i wskazuje na możliwość wykorzystania przez hakerów urządzenia innego niż Windows do napisania kodu.

Ten sam post twierdzi również, że złośliwe oprogramowanie jest stosunkowo podobne do IsaacWiper, złośliwego oprogramowania czyszczącego, które ostatnio atakowało firmy z Ukrainy. Najwyraźniej oba wycieraczki używają tego samego algorytmu do generowania liczb pseudolosowych, które nadpisują dane w plikach, trwale je uszkadzając.

Atakujący użyliby algorytmu Mersenne Vortex PRNG, który jest kolejną rzadko spotykaną funkcją.

Wipery należą do najniebezpieczniejszych odmian złośliwego oprogramowania, ponieważ ich jedynym celem jest trwałe „wymazanie” wszystkich danych na docelowym urządzeniu. Aby bronić się przed takimi atakami, zaleca się użytkownikom zachowanie ostrożności podczas pobierania załączników oraz upewnienie się, że ich oprogramowanie i sprzęt są zawsze aktualne. Wskazane jest również posiadanie najnowocześniejszych rozwiązań w zakresie cyberbezpieczeństwa (otwiera w nowej karcie).

Przez: Ars Technica (Otwiera się w nowej zakładce)

Udostępnij to