Logiciel malveillant CryWiper utilisé pour attaquer des cibles russes

Une toute nouvelle souche de malware qui n'avait jamais été vue dans la nature auparavant est maintenant utilisée dans des attaques contre des organes administratifs en Russie. Le nouveau malware s'appelle CryWiper. CryWiper cible les bureaux des autorités municipales et des tribunaux situés dans les villes russes.

Le malware se présente comme une souche de ransomware. CryWiper modifie les extensions de fichiers cryptés comme le font la plupart des variantes de rançongiciels, en attachant la chaîne ".cry" aux noms des fichiers brouillés. Le logiciel malveillant laisse également tomber une note de rançon et demande 0,5 valeur de Bitcoin en guise de paiement de rançon.

Malgré les apparences, CryWiper, comme son nom l'indique, est vraiment un nettoyeur de fichiers destructeur et non une souche de ransomware légitime, ce qui impliquerait la possibilité de récupération et de décryptage.

Selon les chercheurs en sécurité, les fichiers ne sont pas cryptés, les données qu'ils contiennent sont détruites et ne peuvent pas être récupérées. Une analyse plus approfondie de l'outil malveillant montre qu'il ne s'agit même pas d'un bogue ou d'un oubli de la part du développeur CryWiper - c'est un comportement intentionnel.

Les données contenues dans les fichiers affectés par le logiciel malveillant sont remplacées par des nombres produits par un générateur de nombres pseudo-aléatoires, ce qui rend la récupération impossible.