Offentliga organisationer i Ryssland, inklusive kommuner och domstolar, utsätts för en helt ny och ganska lömsk variant av skadlig programvara.
CryWiper poserar som ransomware och försöker pressa ut lite pengar från offer (0,5 bitcoins, eller cirka 9000 XNUMX dollar vid presstillfället), men hans mål är inte att få betalt, utan att förstöra alla filer som hittas på den infekterade terminalen.
Kasperskys cybersäkerhetsforskare rapporterar "unika" cyberattacker i Ryssland, där infekterade filer får ett nytt tillägg: .cry (därav namnet CryWiper). Medan lokala medier sa att angriparna riktade sig mot landets borgmästarkontor och domstolar, är det oklart exakt hur många enheter de lyckades kompromissa med.
Ryssar riktar sig mot ryssar?
Vad vi vet är att skadlig programvara delar gemensamma egenskaper med två andra skadliga stammar: Trojan-Ransom.Win32.Xorist och Trojan-Ransom.MSIL.Agent. De har alla samma e-postadress som anges i lösennotan. Xorist sågs första gången 2010 och beskrivs som en familj av Windows ransomware som riktar sig till ryska och engelsktalande användare.
CryWiper skrevs i C++, vilket Ars Technica säger är ett ovanligt val och indikerar möjligheten för hackare att använda en icke-Windows-enhet för att skriva koden.
Samma inlägg hävdar också att skadlig programvara är relativt lik IsaacWiper, en saneringsskadlig kod som nyligen riktade sig till Ukraina-baserade företag. Tydligen använder båda torkarna samma algoritm för att generera pseudoslumptal som skriver över data i filerna, vilket permanent korrumperar dem.
Angriparna skulle använda Mersenne Vortex PRNG-algoritmen, vilket är en annan ovanlig funktion.
Torkare är bland de farligaste varianterna av skadlig programvara, eftersom deras enda syfte är att "torka" all data på målenheten permanent. För att försvara sig mot sådana attacker rekommenderas användare att vara försiktiga när de laddar ner bilagor och att se till att deras mjukvara och hårdvara alltid är uppdaterad. Det är också lämpligt att ha toppmoderna cybersäkerhetslösningar (öppnas i en ny flik).
Via: Ars Technica (öppnas i en ny flik)