ransomawre

CryWiper: o falso ransomware

O novo malware CryWiper corrompe arquivos que se apresentam como ransomware de forma irreversível.

Editorial Team
15 dez 2022

Nossos especialistas descobriram um ataque de um novo Trojan, que eles apelidaram de CryWiper. À primeira vista, este malware se parece com ransomware: ele modifica arquivos, adiciona uma extensão adicional a eles e salva um arquivo README.txt com uma nota de resgate, que contém o endereço da carteira bitcoin, o endereço de e-mail de contato dos criadores do malware e o ID da infecção. No entanto, na verdade, esse malware é um wiper: um arquivo modificado pelo CryWiper não pode ser restaurado ao seu estado original — nunca. Portanto, se você vir uma nota de resgate e seus arquivos tiverem uma nova extensão .CRY, não se apresse em pagar o resgate: é inútil.

No passado, vimos alguns tipos de malware que se tornaram wipers por acidente – devido a erros de seus criadores que implementaram mal os algoritmos de criptografia. No entanto, desta vez não é o caso: nossos especialistas estão confiantes de que o principal objetivo dos invasores não é o ganho financeiro, mas a destruição de dados. Os arquivos não são realmente criptografados; em vez disso, o cavalo de Tróia os substituiu com dados gerados de forma pseudoaleatória.

O que o CryWiper está buscando

O Trojan corrompe todos os dados que não são vitais para o funcionamento do sistema operacional. Não afeta arquivos com extensões .exe, .dll. .lnk, .sys ou .msi e ignora várias pastas do sistema no diretório C:\Windows. O malware se concentra em bancos de dados, arquivos e documentos do usuário.

Até agora, nossos especialistas viram apenas ataques pontuais contra alvos da Federação Russa. No entanto, como sempre, ninguém pode garantir que o mesmo código não seja usado contra outros alvos.

Como funciona o trojan CryWiper

Além de substituir diretamente o conteúdo dos arquivos com lixo, o CryWiper também faz o seguinte:

cria uma tarefa que reinicia o wiper a cada cinco minutos usando o Agendador de Tarefas;
envia o nome do computador infectado para o servidor de comando e controle (C&C) e aguarda um comando para iniciar um ataque;
interrompe processos relacionados a: servidores de banco de dados MySQL e MS SQL, servidores de correio MS Exchange e serviços web MS Active Directory (caso contrário, o acesso a alguns arquivos seria bloqueado e seria impossível corrompê-los);
exclui cópias de arquivos duplicados para que não possam ser restaurados (mas por algum motivo apenas na unidade C:);
desabilita a conexão com o sistema afetado via protocolo de acesso remoto RDP.

O objetivo deste último ponto não é totalmente evidente. Talvez, com essa desativação, os autores do malware tenham tentado complicar o trabalho da equipe de resposta a incidentes, que claramente preferiria ter acesso remoto à máquina afetada – eles teriam que obter acesso físico a ela. Você pode encontrar detalhes técnicos do ataque junto com indicadores de comprometimento em uma publicação no Securelist (somente disponível no idioma russo).

Mantenha-se seguro

Para proteger os computadores da sua empresa contra ransomware e wipers, nossos especialistas recomendam as seguintes medidas:

controle cuidadosamente as conexões de acesso remoto à sua infraestrutura: proíba conexões de redes públicas, permita acesso RDP somente por meio de um túnel VPN e use senhas fortes exclusivas e autenticação de dois fatores;
atualize software crítico em tempo hábil, com atenção especial ao sistema operacional, soluções de segurança, clientes VPN e ferramentas de acesso remoto;
aumente a conscientização de segurança de seus funcionários, por exemplo, usando ferramentas online especializadas;
utilize soluções de segurança avançadas para proteger tanto os dispositivos de trabalho quanto o perímetro da rede corporativa.

O antídoto para o conservadorismo da tecnologia operacional

Todas as informações sobre a proteção e atualização da infraestrutura de OT.

Dicas

Olha o passarinho (verificado) ou as novas maneiras de reconhecer falsificações

Como diferenciar uma foto ou vídeo real de uma falsificação e rastrear sua procedência.

Como mudar para a Kaspersky: um guia de migração passo a passo

Como mudar a proteção cibernética de seu computador ou smartphone para a solução de segurança mais premiada da Kaspersky.

Chefe ou fraudador? Golpe disfarçado de ordens do seu chefe

Recebeu uma mensagem de seu chefe ou colega de trabalho pedindo para você “resolver um problema” de uma forma inesperada? Cuidado com golpistas! Como proteger a si mesmo e sua empresa contra um possível ataque?

Como proteger a segurança doméstica

As empresas de segurança oferecem tecnologias inteligentes, principalmente câmeras, para proteger a casa contra roubos, incêndios e outros incidentes. Mas que tal proteger esses sistemas de segurança contra intrusos? É o que faremos para preencher essa lacuna.

FERRAMENTAS GRATUITAS

Soluções de segurança direcionadas

Soluções Corporativas

CryWiper: o falso ransomware

O que o CryWiper está buscando

Como funciona o trojan CryWiper

Mantenha-se seguro

Ransomware e futebol: como empresas podem ter uma defesa proativa

As políticas de grupo permitem a disseminação de ransomware

O antídoto para o conservadorismo da tecnologia operacional

Dicas

Olha o passarinho (verificado) ou as novas maneiras de reconhecer falsificações

Como mudar para a Kaspersky: um guia de migração passo a passo

Chefe ou fraudador? Golpe disfarçado de ordens do seu chefe

Como proteger a segurança doméstica

Inscreva-se para receber nossos destaques em seu e-mail

Soluções domésticas

Produtos para pequenas empresas

Produtos para empresas médias

Soluções corporativas

Securelist

Eugene Personal Blog