CryWiper, um limpador de dados até então desconhecido que se disfarça de ransomware, foi descoberto recentemente e está se espalhando pela Internet. Além disso, este ransomware destrói completamente os dados que infecta, em vez de criptografá-los.
Durante um ataque contra os gabinetes e tribunais do prefeito russo, conforme relatado pela mídia russa, este cenário foi detectado.
Neste outono, a Kaspersky foi a primeira empresa a descobrir CryWiper e mais tarde relataram que o malware foi usado para atacar uma organização russa em um ataque realizado pelos operadores do malware.
Análise técnica
Após uma inspeção e análise minuciosas do código-fonte do CryWiper, fica claro que sua capacidade de limpar os dados dos alvos é completamente intencional, portanto não é um erro.
CryWiper é escrito principalmente em C++ e é um Windows executável baseado na arquitetura de 64 bits. Como resultado de sua configuração, o CryWiper abusa de inúmeras funções do WinAPI e permanece oculto sob o seguinte nome: –
Assim que o malware é executado no sistema já comprometido, ele cria automaticamente uma lista de tarefas agendadas para execução em intervalos de cinco minutos.
Este Trojan então usa uma solicitação HTTP GET para entrar em contato com seu servidor de comando e controle (C2), passando o nome do sistema infectado como parâmetro ao servidor para obter acesso ao sistema comprometido.
As seguintes strings são enviadas pelo servidor C&C para controlar o comportamento e os atributos do malware:-
O CryWiper iniciará imediatamente sua atividade maliciosa se a opção ‘executar’ for retornada. Na tentativa de enganar as vítimas, em alguns casos, os prazos completos de execução são estendidos até 4 dias, o que equivale a cerca de 345.600 segundos.
Além disso, para destruir os dados, o CryWiper precisa liberar os dados bloqueados e, para isso, interrompe todos os processos marcados como críticos e esses processos estão relacionados a: –
- MySQL
- Servidores de banco de dados MS SQL
- Servidores de e-mail MS Exchange
- Serviços da Web do MS Active Directory
Como resultado do CryWiper, o Windows O registro também é modificado para que as conexões RDP sejam evitadas, impossibilitando assim que especialistas remotos de TI intervenham e respondam quando ocorre um incidente.
Extensões e diretórios de arquivos ignorados
Abaixo mencionamos todos os tipos de arquivos que não são destruídos pelo CryWiper: –
Além disso, os seguintes diretórios também são ignorados pelo CryWiper, resultando na perda completa de funcionalidade: –
- C:\Windows
- tmp
- não ganha
- temperatura
- dedão
- Informações de volume do sistema
- Bota
- Windows
- Tendência Micro
Um gerador de números pseudoaleatórios conhecido como ‘Mersenne Twister’ é usado como algoritmo para corromper os arquivos.
Feito isso, uma nota de resgate, intitulada ‘README.txt’, será gerada pelo CryWiper. Nesta nota, pede 0.5 Bitcoin que custa cerca de $8.000 em troca de um descriptografador para ser liberado.
O malware CryWiper não é um arquivo ransomware da maneira tradicional, mas é um programa de malware capaz de destruir uma grande quantidade de dados em um curto período de tempo.
Recomendações
A seguir mencionamos todas as recomendações aconselhadas pelos especialistas em segurança: –
- Certifique-se de realizar uma análise comportamental de arquivos para detectar e bloquear malware.
- Existem vários serviços MDR e SOC que podem detectar intrusões em tempo hábil e responder de acordo a essas intrusões.
- Deve ser feito o bloqueio de arquivos e URLs maliciosos de anexos de e-mail com base em análise dinâmica.
- Realizar testes de penetração regularmente e participar de projetos RedTeam conforme necessário.
- Para acompanhar as ameaças, é necessário monitorar os dados das ameaças.
