Эксперты «Лаборатории Касперского» зафиксировали атаку нового вайпера* на российские региональные организации осенью 2022 года. Вредонос CryWiper выдаёт себя за программу-вымогатель и требует выкуп, однако не шифрует, а уничтожает файлы.
После заражения устройства CryWiper портил файлы жертвы и отображал сообщение с требованиями выкупа. В записке злоумышленники оставляли адрес электронной почты и биткоин-кошелька, указав сумму за расшифровку более 500 тысяч рублей (0,5 BTС). Однако файлы были испорчены без возможности восстановления. Анализ программного кода троянца показал, что это не ошибка разработчика, как иногда бывает, а его изначальный замысел.
Эксперты «Лаборатории Касперского» отмечают, что адрес почты, который оставляли злоумышленники, ранее фигурировал в других атаках. Так, образцы, некоторые из которых относятся к семейству вредоносного ПО Xorist, после шифрования устройств давали жертвам те же контактные данные. Это может означать, что либо распространитель ранее использовал программы-шифровальщики, а в новой атаке переключился на вайперы, либо подставил сторонние данные, чтобы ввести в заблуждение исследователей. Также, вероятно, чтобы ещё больше усложнить работу экспертов в области информационной безопасности, CryWiper запрещает доступ к атакованному устройству по RDP.
Вайпер уничтожает содержимое файлов всех форматов, за исключением тех, которые отвечают за работу самой системы. Под прицелом — базы данных, архивы, отдельно лежащие пользовательские документы. При этом программа не принимает решение об уничтожении файлов автономно: она отправляет запрос на командный сервер и только после получения разрешения от него начинает свою разрушительную деятельность. Файлы с испорченным содержимым получают дополнительное расширение .CRY.
«Атака CryWiper в очередной раз показывает, что оплата выкупа не гарантирует восстановление файлов. Пока мы фиксируем точечные инциденты, но зловред может продолжить более активно атаковать организации. Для противодействия таким угрозам компаниям важно использовать комплексную защиту периметра корпоративной сети и обучать сотрудников базовым правилам кибергигиены, поскольку атаки часто начинаются с фишинга или других техник социальной инженерии», — комментирует Фёдор Синицын, эксперт по кибербезопасности «Лаборатории Касперского».
* Вид вредоносного ПО, цель которого — уничтожить данные на диске компьютера-жертвы.
Нажимая на кнопку, я даю Согласие на обработку персональных данных в соответствии с Политикой обработки.