Общественные организации в России, в том числе городские советы и суды, стали жертвами совершенно нового и довольно скрытного варианта вредоносного ПО.
CryWiper выдает себя за программу-вымогатель и пытается вымогать у жертв немного денег (0,5 биткойна или около 9000 долларов США на момент публикации), но его цель — не получить деньги, а уничтожить все файлы, найденные на зараженном терминале.
Исследователи кибербезопасности «Лаборатории Касперского» сообщают об «уникальных» кибератаках в России, в ходе которых зараженные файлы получают новое расширение: .cry (отсюда и название CryWiper). Хотя местные СМИ сообщили, что нападавшие атаковали мэрии и суды страны, неясно, сколько именно организаций им удалось скомпрометировать.
Русские нападают на русских?
Что мы точно знаем, так это то, что эта вредоносная программа имеет общие черты с двумя другими штаммами вредоносного ПО: Trojan-Ransom.Win32.Xorist и Trojan-Ransom.MSIL.Agent. У всех них один и тот же адрес электронной почты, указанный в примечании о выкупе. Xorist впервые был замечен в 2010 году и описывается как семейство программ-вымогателей для Windows, нацеленных на русскоязычных и англоязычных пользователей.
CryWiper был написан на C++, что, по мнению Ars Technica, является необычным выбором и указывает на возможность использования хакерами устройств, отличных от Windows, для написания кода.
В том же сообщении также утверждается, что вредоносное ПО относительно похоже на IsaacWiper, вредоносное ПО, которое недавно атаковало компании, базирующиеся в Украине. Судя по всему, оба вайпера используют один и тот же алгоритм для генерации псевдослучайных чисел, которые перезаписывают данные в файлах, безвозвратно повреждая их.
Злоумышленники будут использовать алгоритм PRNG Mersenne Vortex, который является еще одной необычной функцией.
Стеклоочистители являются одними из наиболее опасных вариантов вредоносного ПО, поскольку их единственная цель — навсегда «стереть» все данные с целевого устройства. Чтобы защититься от таких атак, пользователям рекомендуется быть осторожными при загрузке вложений и следить за тем, чтобы их программное и аппаратное обеспечение всегда было актуальным. Также желательно иметь передовые решения в области кибербезопасности (откроется в новой вкладке).
Через: Ars Technica (откроется в новой вкладке)