一个名为 CryWiper 的先前未记录的数据擦除器伪装成勒索软件,但实际上,它在对俄罗斯市长办公室和法院的攻击中破坏了无法恢复的数据。
今年秋天,卡巴斯基首次发现了 CryWiper,他们称该恶意软件被用于对俄罗斯组织的攻击。
卡巴斯基的新报告解释说:“在 2022 年秋天,我们的解决方案检测到一种以前未知的特洛伊木马程序试图攻击俄罗斯联邦的一个组织的网络,我们将其命名为 CryWiper 。”
然而,俄罗斯媒体的一份报告称,该恶意软件被用于攻击俄罗斯市长办公室和法院。
正如代码分析所揭示的那样,CryWiper 的数据擦除功能并非错误,而是一种旨在破坏目标数据的有目的的策略。
擦除受害者的数据
CryWiper 是一个名为“browserupdate.exe”的 64 位 Windows 可执行文件,用 C++ 编写,配置为滥用许多 WinAPI 函数调用。
执行后,它会创建计划任务,每五分钟在受感染的机器上运行一次。
接下来,它使用受害者机器的名称联系命令和控制服务器 (C2)。C2 以“运行”或“不运行”命令作出响应,确定雨刮器是激活还是保持休眠。
卡巴斯基报告称,在某些情况下,执行延迟了 4 天(345,600 秒),这很可能是添加到代码中的,目的是帮助受害者混淆导致感染的原因。
CryWiper 将停止与 MySQL、MS SQL 数据库服务器、MS Exchange 电子邮件服务器和 MS Active Directory Web 服务相关的关键进程,以释放锁定的数据以供销毁。
接下来,恶意软件会删除受感染机器上的卷影副本,以防止轻松恢复已擦除的文件。
CryWiper 还修改 Windows 注册表以阻止 RDP 连接,这可能会阻碍远程 IT 专家的干预和事件响应。
最后,擦除器将破坏除“.exe”、“.dll”、“lnk”、“.sys”、“.msi”和它自己的“.CRY”之外的所有枚举文件,同时还会跳过系统、Windows、和引导目录,以防止使计算机完全无法使用。
破坏文件的算法基于伪随机数生成器“Mersenne Twister”。这与 IsaacWiper 使用的算法相同,但研究人员没有在这两个家族之间建立进一步的联系。
在此步骤之后,CryWiper 将生成名为“README.txt”的赎金票据,要求 0.5 比特币(约 8,000 美元)以换取解密器。不幸的是,这是一个错误的承诺,因为损坏的数据无法恢复。
尽管 CryWiper 不是典型意义上的勒索软件,但它仍然可以造成严重的数据破坏和业务中断。
卡巴斯基表示,CryWiper 似乎与 2022 年出现的任何擦除器系列都没有关联,例如 DoubleZero、 IsaacWiper、 HermeticWiper、 CaddyWiper、 WhisperGate、 AcidRain和 Industroyer2。
11/2/2 更新:添加了有关 CryWiper 目标的更多信息 (h/t Risky Biz )。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 新的CryWiper数据擦除器针对俄罗斯法院和市长办公室
