I ricercatori di Kaspersky hanno scoperto un nuovo malware chiamato CryWiper che prende di mira gli uffici e i tribunali Russi, fingendo di essere un ransomware.
CryWiper è un eseguibile Windows a 64 bit sviluppato in C++ e compilato utilizzando il toolkit MinGW-w64 e il compilatore GCC.
Al momento dell’esecuzione, il file crea delle attività pianificate per eseguire il proprio file ogni cinque minuti sulla macchina compromessa. Successivamente, contatta un server C2 utilizzando una richiesta HTTP GET e passa il nome del computer infetto come parametro.
Il C2 risponde con un comando di esecuzione, e avvierà immediatamente un’attività dannosa. Quando viene ricevuta la risposta “non eseguire“, il virus dorme, di solito per circa 4 giorni, prima dell’esecuzione successiva.
Secondo i ricercatori di Kaspersky, CryWiper si maschera da ransomware e richiede un riscatto di 0,5 Bitcoin (circa $ 8.000) in cambio di un decryptor. Tuttavia, distrugge intenzionalmente il contenuto dei file nel sistema interessato, il che rende i dati non recuperabili.
Ecco cosa può fare
CryWiper interromperà i processi relativi a MySQL, server di database MS SQL, server di posta elettronica MS Exchange e servizi Web MS Active Directory per liberare i dati bloccati da questi processi, per la distruzione.
Elimina inoltre le copie shadow per impedire il facile ripristino dei file cancellati. Modifica il registro di Windows per impedire le connessioni al sistema tramite RDP per ostacolare l’intervento da parte degli specialisti IT e della sicurezza. In più, interrompe i file utente utilizzando Mersenne Vortex e li distrugge. Aggiunge un’ulteriore estensione .CRY ai file con contenuto danneggiato.
CryWiper si propaga come ransomware, tuttavia funziona come un cancellatore di dati. Riesce ad eludere il rilevamento delle minacce in tempo reale, test di penetrazione regolari e backup.