Наши эксперты зафиксировали атаку нового троянца, которого они окрестили CryWiper. Внешне активность этого зловреда имеет все признаки заражения шифровальщиком-вымогателем: он изменяет файлы, добавляет к ним дополнительное расширение .CRY и сохраняет файл README.txt с требованием выкупа, в котором содержится адрес биткойн-кошелька, почта для связи с авторами и идентификатор заражения. Однако по факту он относится к классу вайперов — поврежденные им данные не подлежат восстановлению. Так что если вы видите записку от вымогателей, а важные файлы в системе не читаются и имеют новое расширение .CRY, то платить выкуп как минимум бессмысленно.
В прошлом мы встречали поделки злоумышленников, которые становились вайперами случайно — вследствие ошибки программистов, криво реализовавших процесс шифрования файлов. Однако это не тот случай: наши эксперты уверены, что в этот раз основная цель злоумышленников не в получении финансовой выгоды, а именно в уничтожении данных. Данные не шифруются, вместо этого троянец перезаписывает их информацией, получаемой при помощи генератора псевдослучайных чисел.
За какими данными охотится CryWiper
По большому счету, троянец портит любые данные, отсутствие которых не сказывается на работе операционной системы. Он игнорирует файлы с расширениями .exe, .dll, .lnk, .sys, .msi, а также принципиально не трогает ряд папок в директории C:\Windows. Фокусируется зловред на базах данных, архивах и пользовательских документах.
На данный момент наши эксперты видели исключительно точечные атаки на цели в Российской Федерации. Однако, как обычно, никто не может гарантировать, что тот же код не может быть применен и против иных целей.
Как работает троянец CryWiper
Помимо непосредственного перезаписывания содержимого файлов бессмысленной информацией, зловред также делает следующее:
- с помощью планировщика заданий (Task Scheduler) он создает задачу, которая повторно запускает вайпер каждые 5 минут;
- передает имя зараженного компьютера в командный центр и ждет команду на начало атаки;
- останавливает процессы, связанные с серверами баз данных MySQL и MS SQL, почтовым сервером MS Exchange и веб-службами MS Active Directory (в противном случае доступ к некоторым файлам был бы заблокирован и их было бы невозможно испортить);
- удаляет теневые копии файлов, чтобы их было невозможно восстановить (правда почему-то только на диске C:);
- запрещает подключение к системе по протоколу удаленного доступа RDP.
Смысл последнего действия не совсем очевиден. Возможно, таким образом он пытает усложнить работу айтишников и безопасников, которым для реагирования на инцидент явно не помешал бы удаленный доступ к пострадавшей машине — но вместо этого им придется получать к ней физический доступ. Технические подробности троянца, вместе с индикаторами компрометации, можно найти в посте на сайте Securelist.com.
Как оставаться в безопасности
Для того чтобы защитить компьютеры вашей компании как от шифровальщиков-вымогателей, так и от вайперов, наши эксперты рекомендуют применять следующие меры:
- тщательно контролировать подключения при помощи служб удаленного доступа: запретить подключение из общедоступных сетей, организовывать RDP-доступ только через VPN, использовать уникальные надежные пароли и двухфакторную аутентификацию;
- своевременно обновлять критическое программное обеспечение, уделяя особое внимание системе, защитным решениям, VPN-клиентам, средствам организации удаленного доступа;
- периодически повышать осведомленность сотрудников о современных киберугрозах, например при помощи специализированных онлайн-инструментов;
- применять комплексные решения для защиты как рабочих устройств, так и периметра корпоративной сети.