Skip to main

Вредонос CryWiper выдаёт себя за программу-вымогатель и требует выкуп, однако не шифрует, а уничтожает файлы.

После заражения устройства CryWiper портил файлы жертвы и отображал сообщение с требованиями выкупа. В записке злоумышленники оставляли адрес электронной почты и биткоин-кошелька, указав сумму за расшифровку более 500 тысяч рублей (0,5 BTС). Однако файлы были испорчены без возможности восстановления. Анализ программного кода троянца показал, что это не ошибка разработчика, как иногда бывает, а его изначальный замысел.

Эксперты «Лаборатории Касперского» отмечают, что адрес почты, который оставляли злоумышленники, ранее фигурировал в других атаках. Так, образцы, некоторые из которых относятся к семейству вредоносного ПО Xorist, после шифрования устройств давали жертвам те же контактные данные. Это может означать, что либо распространитель ранее использовал программы-шифровальщики, а в новой атаке переключился на вайперы, либо подставил сторонние данные, чтобы ввести в заблуждение исследователей. Также, вероятно, чтобы ещё больше усложнить работу экспертов в области информационной безопасности, CryWiper запрещает доступ к атакованному устройству по RDP .

Вайпер уничтожает содержимое файлов всех форматов, за исключением тех, которые отвечают за работу самой системы. Под прицелом — базы данных, архивы, отдельно лежащие пользовательские документы. При этом программа не принимает решение об уничтожении файлов автономно: она отправляет запрос на командный сервер и только после получения разрешения от него начинает свою разрушительную деятельность. Файлы с испорченным содержимым получают дополнительное расширение .CRY.

« Атака CryWiper в очередной раз показывает, что оплата выкупа не гарантирует восстановление файлов. Пока мы фиксируем точечные инциденты, но зловред может продолжить более активно атаковать организации. Для противодействия таким угрозам компаниям важно использовать комплексную защиту периметра корпоративной сети и обучать сотрудников базовым правилам кибергигиены, поскольку атаки часто начинаются с фишинга или других техник социальной инженерии», — комментирует Фёдор Синицын, эксперт по кибербезопасности «Лаборатории Касперского».

Чтобы защититься от сложных кибератак, «Лаборатория Касперского» рекомендует компаниям:

  • Запретить подключаться к службам удалённого рабочего стола (таким как RDP) из общественных сетей, если в этом нет серьёзной необходимости, и всегда использовать надёжные пароли для таких служб.
  • Оперативно устанавливать доступные исправления для коммерческих VPN-решений, обеспечивающих подключение удалённых сотрудников и выступающих в качестве шлюзов в сети.
  • Всегда обновлять программное обеспечение на используемых устройствах, чтобы предотвратить эксплуатацию уязвимостей.
  • Не забывать фокусироваться на обнаружении горизонтальных перемещений и эксфильтрации данных в интернет. Обращать особое внимание на исходящий трафик, чтобы выявлять коммуникации злоумышленников. Регулярно выполнять резервное копирование данных. Убедиться, что в экстренной ситуации возможно быстро получить доступ к бэкапу.
  • Использовать актуальные данные Threat Intelligence , чтобы оставаться в курсе актуальных TTP, используемых злоумышленниками.
  • Применять комплексные защитные решения, которые позволят выстроить гибкую эффективную систему безопасности, включающую обеспечение надёжной защиты рабочих мест, выявление и остановку атак любой сложности на ранних стадиях, сбор актуальных данных о кибератаках в мире и обучение сотрудников базовым навыкам цифровой грамотности. Комбинации таких решений под потребности компании любого масштаба содержатся в уровнях новой линейки продуктов для защиты бизнеса Kaspersky Symphony .
  • Обучать сотрудников цифровой грамотности. В этом могут помочь специализированные курсы, которые можно найти, например, на платформе Kaspersky Automated Security Awareness Platform .

* Вид вредоносного ПО, цель которого — уничтожить данные на диске компьютера-жертвы.



Данные под угрозой: новый вайпер атаковал организации в РФ

Эксперты «Лаборатории Касперского» зафиксировали атаку нового вайпера* на российские региональные организации осенью 2022 года
Kaspersky Logo