Российские организации атаковал новый вайпер

Эксперты «Лаборатории Касперского» зафиксировали атаку нового вайпера на российские региональные организации осенью 2022 года. Вредонос CryWiper выдает себя за программу-вымогатель и требует выкуп, однако не шифрует, а уничтожает файлы.

После заражения устройства CryWiper портил файлы жертвы и отображал сообщение с требованиями выкупа. В записке злоумышленники оставляли адрес электронной почты и биткоин-кошелька, указав сумму за расшифровку более 500 тыс. рублей. Однако файлы были испорчены без возможности восстановления. Анализ программного кода троянца показал, что это не ошибка разработчика, а его изначальный замысел.

Эксперты «Лаборатории Касперского» отмечают, что адрес почты, который оставляли злоумышленники, ранее фигурировал в других атаках. «Образцы, некоторые из которых относятся к семейству вредоносного ПО Xorist, после шифрования устройств давали жертвам те же контактные данные. Это может означать, что либо распространитель ранее использовал программы-шифровальщики, а в новой атаке переключился на вайперы, либо подставил сторонние данные, чтобы ввести в заблуждение исследователей. Также, вероятно, чтобы еще больше усложнить работу экспертов в области информационной безопасности, CryWiper запрещает доступ к атакованному устройству по RDP», — говорят аналитики.

Вайпер уничтожает содержимое файлов всех форматов, за исключением тех, которые отвечают за работу самой системы. Под прицелом — базы данных, архивы, отдельно лежащие пользовательские документы. При этом программа не принимает решение об уничтожении файлов автономно: она отправляет запрос на командный сервер и только после получения разрешения от него начинает свою разрушительную деятельность. Файлы с испорченным содержимым получают дополнительное расширение .CRY.

«Атака CryWiper в очередной раз показывает, что оплата выкупа не гарантирует восстановление файлов. Пока мы фиксируем точечные инциденты, но зловред может продолжить более активно атаковать организации. Для противодействия таким угрозам компаниям важно использовать комплексную защиту периметра корпоративной сети и обучать сотрудников базовым правилам кибергигиены, поскольку атаки часто начинаются с фишинга или других техник социальной инженерии», — комментирует эксперт по кибербезопасности «Лаборатории Касперского» Федор Синицын.