Threat Database Malware Malware CryWiper

Malware CryWiper

Los actores de amenazas están utilizando una nueva herramienta de malware en ataques dirigidos contra las oficinas del alcalde y los tribunales en Rusia. Los investigadores de Kaspersky rastrean la amenaza maliciosa como CryWiper. El servicio de noticias Izvestia ha revelado detalles adicionales sobre las campañas de ataque.

Según la información disponible, CryWiper se hace pasar por una amenaza de ransomware desplegada como parte de un ataque motivado financieramente. La amenaza afectará los datos encontrados en los sistemas informáticos violados y los dejará en un estado inutilizable. Los archivos bloqueados tendrán '.cry' adjunto a sus nombres originales. Izvestia informa que las víctimas reciben una nota de rescate exigiendo el pago de 0,5 BTC (Bitcoin). Al tipo de cambio actual de la criptomoneda, el rescate vale más de $8500. Se espera que los fondos se transfieran a la dirección de criptobilletera proporcionada.

La recuperación de datos no es posible

Sin embargo, en realidad, las víctimas de CryWiper no podrán restaurar sus datos, incluso si cumplen con las demandas de los atacantes. La razón es que CryWiper destruye los datos de los archivos a los que afecta. Esta funcionalidad no parece ser el resultado de una programación defectuosa y, en cambio, es una consecuencia intencionada de la ejecución de CryWiper. Los expertos han descubierto que el algoritmo utilizado para la destrucción de los datos de las víctimas es Mersenne Vortex PRNG. Esta es una opción poco utilizada que se encuentra en algunas amenazas de malware, y un ejemplo de ello es IsaacWiper. CryWiper también podría conectarse con las amenazas de ransomware Xorist y MSIL Agent, ya que las tres usan las mismas direcciones de correo electrónico para comunicarse.

Detalles adicionales

CryWiper se distribuye como un ejecutable de 64 bits dirigido a sistemas Windows. La amenaza se creó utilizando el lenguaje de programación C++ y cumplió con el kit de herramientas MinGW-w64 y el compilador GCC. Los expertos en ciberseguridad señalan que no usar el Microsoft Visual Studio más típico es una elección inusual y podría indicar que los piratas informáticos responsables de la amenaza estaban usando dispositivos que no son de Windows.

La recuperación de datos afectados por limpiadores como CryWiper podría ser difícil. Es por eso que se recomienda encarecidamente crear copias de seguridad periódicas y mantener actualizadas todas las herramientas de software instaladas y las soluciones de ciberseguridad.

Tendencias

Mas Visto

Cargando...