Οι ερευνητές της Kaspersky ανακάλυψαν μια νέα επίθεση trojan την οποία ονόμασαν CryWiper. Αρχικά, το CryWiper malware φαίνεται να είναι ransomware: τροποποιεί αρχεία, αλλάζει την επέκταση σε .CRY (μοναδική για το CryWiper) και αποθηκεύει ένα αρχείο README.txt που περιέχει τη διεύθυνση του πορτοφολιού bitcoin, τη διεύθυνση e-mail επικοινωνίας των δημιουργών κακόβουλου λογισμικού και το αναγνωριστικό μόλυνσης.
Ωστόσο, στην πραγματικότητα, αυτό το malware είναι ένας wiper: ένα αρχείο που τροποποιήθηκε από το CryWiper δεν μπορεί να αποκατασταθεί – δεν θα μπορέσει ποτέ να επιστρέψει στην αρχική του κατάσταση. Επομένως, εάν δείτε ένα σημείωμα λύτρων και τα αρχεία σας έχουν νέα επέκταση .CRY, μην βιαστείτε να πληρώσετε τα λύτρα: είναι άσκοπο.
Στο παρελθόν, έχουμε δει στελέχη malware που έχουν γίνει wipers κατά λάθος. Αυτό οφείλεται στο γεγονός ότι οι δημιουργοί τους εφάρμοσαν εσφαλμένα αλγόριθμους κρυπτογράφησης. Ωστόσο, αυτή τη φορά δεν πρόκειται για ατύχημα: οι ειδικοί της Kaspersky είναι βέβαιοι ότι ο κύριος στόχος των επιτιθέμενων δεν είναι το οικονομικό κέρδος, αλλά η καταστροφή δεδομένων. Τα αρχεία δεν είναι πραγματικά κρυπτογραφημένα- αντίθετα, το Trojan τα αντικαθιστά με ψευδο-τυχαία παραγόμενα δεδομένα.
Δείτε επίσης: Γαλλία: Νοσοκομείο ακύρωσε επεμβάσεις λόγω κυβερνοεπίθεσης
Δείτε επίσης: Lazarus: Η νέα καμπάνια BloxHolder εγκαθιστά το malware AppleJeus
Τι ψάχνει το CryWiper
Το Trojan επιτίθεται ειδικά σε βάσεις δεδομένων, αρχεία και έγγραφα χρηστών. Δεν προκαλεί ζημιά σε αρχεία με επεκτάσεις όπως .exe, .dll, .lnk,.sys ή .msi και αφήνει ανέπαφους αρκετούς φακέλους συστήματος στον κατάλογο C:\ Windows. Το trojan ουσιαστικά καταστρέφει οποιαδήποτε δεδομένα δεν είναι ζωτικής σημασίας για τη λειτουργία του λειτουργικού συστήματος.
Μέχρι στιγμής, οι ειδικοί της εταιρείας έχουν εντοπίσει μόνο επιθέσεις σε στόχους στη Ρωσική Ομοσπονδία. Ωστόσο, ως συνήθως, κανείς δεν μπορεί να εγγυηθεί ότι ο ίδιος κώδικας δεν θα χρησιμοποιηθεί έναντι άλλων στόχων.
Πως λειτουργεί το CryWiper Trojan
Εκτός από την άμεση αντικατάσταση των περιεχομένων των αρχείων με σκουπίδια, το CryWiper κάνει επίσης τα εξής:
- δημιουργεί ένα task που επανεκκινεί τον wiper κάθε πέντε λεπτά χρησιμοποιώντας το Task Scheduler.
- στέλνει το όνομα του μολυσμένου υπολογιστή στον C&C server και περιμένει μια εντολή για να ξεκινήσει μια επίθεση.
- σταματά τις διαδικασίες που σχετίζονται με: database servers MySQL και MS SQL, mail servers MS Exchange και web services MS Active Directory (διαφορετικά η πρόσβαση σε ορισμένα αρχεία θα αποκλειστεί και θα ήταν αδύνατη η καταστροφή τους).
- διαγράφει σκιώδη αντίγραφα αρχείων έτσι ώστε να μην είναι δυνατή η επαναφορά τους (αλλά για κάποιο λόγο μόνο στον C: drive).
- απενεργοποιεί τη σύνδεση με το επηρεαζόμενο σύστημα μέσω πρωτοκόλλου απομακρυσμένης πρόσβασης RDP.
Ο ακριβής λόγος πίσω από την απενεργοποίηση της απομακρυσμένης πρόσβασης από το κακόβουλο λογισμικό είναι αβέβαιος. Ίσως με μια τέτοια απενεργοποίηση, οι δημιουργοί του κακόβουλου λογισμικού να προσπαθούν να περιπλέξουν το έργο της ομάδας απόκρισης περιστατικών, η οποία σαφώς θα προτιμούσε να έχει απομακρυσμένη πρόσβαση στο επηρεαζόμενο μηχάνημα.
Δείτε επίσης: Google Play: Κακόβουλες εφαρμογές με 2 εκατομμύρια λήψεις
Πώς να προστατευτείτε
Για να προστατεύσετε τους υπολογιστές της εταιρείας σας από ransomware και wipers, σας προτρέπουμε να ακολουθήσετε τα παρακάτω βήματα:
- Ελέγξτε προσεκτικά τις συνδέσεις απομακρυσμένης πρόσβασης στην υποδομή σας: απαγορεύστε τις συνδέσεις από δημόσια δίκτυα, επιτρέψτε την πρόσβαση RDP μόνο μέσω ενός VPN tunnel και χρησιμοποιήστε μοναδικούς ισχυρούς κωδικούς πρόσβασης και έλεγχο ταυτοποίησης δύο παραγόντων.
- Να ενημερώνετε έγκαιρα το κρίσιμο λογισμικό, δίνοντας ιδιαίτερη προσοχή στο λειτουργικό σύστημα, τις λύσεις ασφαλείας, τους VPN clients και τα εργαλεία απομακρυσμένης πρόσβασης.
- Αυξήστε το security awareness των υπαλλήλων σας, για παράδειγμα, χρησιμοποιώντας εξειδικευμένα διαδικτυακά εργαλεία.
- Χρησιμοποιούν προηγμένες λύσεις ασφαλείας για την προστασία τόσο των συσκευών εργασίας όσο και της περιμέτρου του εταιρικού δικτύου.
Πηγή πληροφοριών: kaspersky.com
