По информации «Лаборатории Касперского», российские организации страдают от атак вредоноса CryWiper. Он выдает себя за программу-вымогатель и требует выкуп, однако на самом деле не шифрует, а уничтожает файлы пострадавших.

Исследователи сообщают, что после заражения устройств CryWiper повреждает файлы жертв и отображает сообщение с требованиями выкупа. В записке злоумышленники оставляли адрес электронной почты и биткоин-кошелька, требуя за расшифровку данных более 500 000 рублей (0,5 BTС).

На самом деле файлы испорчены без возможности восстановления. При этом анализ кода малвари показал, что это не ошибка разработчика, а умышленное уничтожение данных.

Эксперты отмечают, что адрес почты, который злоумышленники оставляют для связи, ранее фигурировал в других атаках. Так, эти контактные данные ранее связывали с шифровальщиком Xorist. Это может означать, что либо распространитель малвари ранее использовал вымогатели, а в новой атаке переключился на вайперы, либо злоумышленники используют сторонние данные, чтобы ввести в заблуждение исследователей. Также, чтобы дополнительно усложнить работу ИБ-специалистов, CryWiper запрещает доступ к атакованному устройству по RDP .

Сообщается, что вайпер уничтожает содержимое файлов всех форматов, за исключением тех, которые отвечают за работу самой системы. Под прицелом — базы данных, архивы, документы. При этом малварь не принимает решение об уничтожении файлов автономно: она отправляет запрос на управляющий сервер и только после получения разрешения от него начинает свою разрушительную деятельность. Файлы с испорченным содержимым получают дополнительное расширение .CRY.

По данным «Известий», атаки CryWiper затронули мэрии и суды в регионах России. Руководитель департамента информационно-аналитических исследований компании T.Hunter Игорь Бедеров считает, что атаки такого рода на российские органы власти могут быть связаны с геополитической обстановкой.

«Атака CryWiper в очередной раз показывает, что оплата выкупа не гарантирует восстановление файлов. Пока мы фиксируем точечные инциденты, но зловред может продолжить более активно атаковать организации. Для противодействия таким угрозам компаниям важно использовать комплексную защиту периметра корпоративной сети и обучать сотрудников базовым правилам кибергигиены, поскольку атаки часто начинаются с фишинга или других техник социальной инженерии», — комментирует Федор Синицын, эксперт по кибербезопасности «Лаборатории Касперского».

Подписаться
Уведомить о
2 комментариев
Старые
Новые Популярные
Межтекстовые Отзывы
Посмотреть все комментарии