Złośliwe oprogramowanie CryWiper używane do atakowania rosyjskich celów

Zupełnie nowy szczep złośliwego oprogramowania, którego nigdy wcześniej nie widziano w środowisku naturalnym, jest teraz wykorzystywany w atakach na organy administracyjne w Rosji. Nowe złośliwe oprogramowanie nazywa się CryWiper. CryWiper atakuje biura urzędników miejskich i sądy zlokalizowane w rosyjskich miastach.

Złośliwe oprogramowanie udaje odmianę oprogramowania ransomware. CryWiper zmienia rozszerzenia zaszyfrowanych plików, tak jak robi to większość odmian oprogramowania ransomware, dołączając ciąg „.cry” do nazw zaszyfrowanych plików. Złośliwe oprogramowanie upuszcza również żądanie okupu i prosi o 0,5 Bitcoina jako zapłatę okupu.

Wbrew pozorom, CryWiper, jak sama nazwa wskazuje, jest naprawdę destrukcyjnym narzędziem do czyszczenia plików, a nie legalną odmianą oprogramowania ransomware, co oznaczałoby możliwość odzyskania i odszyfrowania.

Według badaczy bezpieczeństwa pliki nie są szyfrowane, dane w nich zawarte są niszczone i nie można ich odzyskać. Głębsza analiza szkodliwego narzędzia pokazuje, że nie jest to nawet błąd ani niedopatrzenie ze strony twórcy CryWipera – to zamierzone zachowanie.

Dane w plikach dotkniętych przez złośliwe oprogramowanie są zastępowane liczbami generowanymi przez generator liczb pseudolosowych, co uniemożliwia ich odzyskanie.