CryWiper: o falso ransomware

O novo malware CryWiper corrompe arquivos que se apresentam como ransomware de forma irreversível.

Nossos especialistas descobriram um ataque de um novo Trojan, que eles apelidaram de CryWiper. À primeira vista, este malware se parece com ransomware: ele modifica arquivos, adiciona uma extensão adicional a eles e salva um arquivo README.txt com uma nota de resgate, que contém o endereço da carteira bitcoin, o endereço de e-mail de contato dos criadores do malware e o ID da infecção. No entanto, na verdade, esse malware é um wiper: um arquivo modificado pelo CryWiper não pode ser restaurado ao seu estado original — nunca. Portanto, se você vir uma nota de resgate e seus arquivos tiverem uma nova extensão .CRY, não se apresse em pagar o resgate: é inútil.

No passado, vimos alguns tipos de malware que se tornaram wipers por acidente – devido a erros de seus criadores que implementaram mal os algoritmos de criptografia. No entanto, desta vez não é o caso: nossos especialistas estão confiantes de que o principal objetivo dos invasores não é o ganho financeiro, mas a destruição de dados. Os arquivos não são realmente criptografados; em vez disso, o cavalo de Tróia os substituiu com dados gerados de forma pseudoaleatória.

O que o CryWiper está buscando

O Trojan corrompe todos os dados que não são vitais para o funcionamento do sistema operacional. Não afeta arquivos com extensões .exe, .dll. .lnk, .sys ou .msi e ignora várias pastas do sistema no diretório C:\Windows. O malware se concentra em bancos de dados, arquivos e documentos do usuário.

Até agora, nossos especialistas viram apenas ataques pontuais contra alvos da Federação Russa. No entanto, como sempre, ninguém pode garantir que o mesmo código não seja usado contra outros alvos.

Como funciona o trojan CryWiper

Além de substituir diretamente o conteúdo dos arquivos com lixo, o CryWiper também faz o seguinte:

  • cria uma tarefa que reinicia o wiper a cada cinco minutos usando o Agendador de Tarefas;
  • envia o nome do computador infectado para o servidor de comando e controle (C&C) e aguarda um comando para iniciar um ataque;
  • interrompe processos relacionados a: servidores de banco de dados MySQL e MS SQL, servidores de correio MS Exchange e serviços web MS Active Directory (caso contrário, o acesso a alguns arquivos seria bloqueado e seria impossível corrompê-los);
  • exclui cópias de arquivos duplicados para que não possam ser restaurados (mas por algum motivo apenas na unidade C:);
  • desabilita a conexão com o sistema afetado via protocolo de acesso remoto RDP.

O objetivo deste último ponto não é totalmente evidente. Talvez, com essa desativação, os autores do malware tenham tentado complicar o trabalho da equipe de resposta a incidentes, que claramente preferiria ter acesso remoto à máquina afetada – eles teriam que obter acesso físico a ela. Você pode encontrar detalhes técnicos do ataque junto com indicadores de comprometimento em uma publicação no Securelist (somente disponível no idioma russo).

Mantenha-se seguro

Para proteger os computadores da sua empresa contra ransomware e wipers, nossos especialistas recomendam as seguintes medidas:

  • controle cuidadosamente as conexões de acesso remoto à sua infraestrutura: proíba conexões de redes públicas, permita acesso RDP somente por meio de um túnel VPN e use senhas fortes exclusivas e autenticação de dois fatores;
  • atualize software crítico em tempo hábil, com atenção especial ao sistema operacional, soluções de segurança, clientes VPN e ferramentas de acesso remoto;
  • aumente a conscientização de segurança de seus funcionários, por exemplo, usando ferramentas online especializadas;
  • utilize soluções de segurança avançadas para proteger tanto os dispositivos de trabalho quanto o perímetro da rede corporativa.
Dicas