Threat Database Malware CryWiper-Malware

CryWiper-Malware

Bedrohungsakteure verwenden ein brandneues Malware-Tool für gezielte Angriffe auf Bürgermeisterämter und Gerichte in Russland. Die bösartige Bedrohung wird von den Forschern bei Kaspersky als CryWiper verfolgt. Weitere Details zu den Angriffskampagnen wurden vom Nachrichtendienst Iswestija bekannt gegeben.

Den verfügbaren Informationen zufolge gibt sich CryWiper als Ransomware-Bedrohung aus, die im Rahmen eines finanziell motivierten Angriffs eingesetzt wird. Die Bedrohung wirkt sich auf die auf den angegriffenen Computersystemen gefundenen Daten aus und hinterlässt sie in einem unbrauchbaren Zustand. Die gesperrten Dateien haben '.cry' an ihren ursprünglichen Namen angehängt. Izvestia berichtet, dass den Opfern eine Lösegeldforderung zur Zahlung von 0,5 BTC (Bitcoin) ausgehändigt wurde. Beim aktuellen Wechselkurs der Kryptowährung ist das Lösegeld mehr als 8500 $ wert. Es wird erwartet, dass die Gelder an die angegebene Kryptowallet-Adresse überwiesen werden.

Eine Datenwiederherstellung ist nicht möglich

In Wirklichkeit werden Opfer von CryWiper ihre Daten jedoch nicht wiederherstellen können, selbst wenn sie die Anforderungen der Angreifer erfüllen. Der Grund ist, dass CryWiper die Daten der betroffenen Dateien zerstört. Diese Funktionalität scheint nicht das Ergebnis einer fehlerhaften Programmierung zu sein, sondern ist stattdessen eine beabsichtigte Folge der Ausführung von CryWiper. Die Experten haben herausgefunden, dass der Algorithmus, der für die Zerstörung der Daten der Opfer verwendet wird, Mersenne Vortex PRNG ist. Dies ist eine selten genutzte Option, die bei wenigen Malware-Bedrohungen zu finden ist, wobei ein solches Beispiel IsaacWiper ist. CryWiper könnte auch mit den Ransomware-Bedrohungen Xorist und MSIL Agent verbunden sein, da alle drei dieselben E-Mail-Adressen für den Kontakt verwenden.

Weitere Details

CryWiper wird als ausführbare 64-Bit-Datei verbreitet, die auf Windows-Systeme abzielt. Die Bedrohung wurde mit der Programmiersprache C++ erstellt und entsprach dem MinGW-w64-Toolkit und dem GCC-Compiler. Cybersicherheitsexperten weisen darauf hin, dass die Nichtverwendung des typischeren Microsoft Visual Studio eine ungewöhnliche Wahl ist und darauf hindeuten könnte, dass die für die Bedrohung verantwortlichen Hacker Nicht-Windows-Geräte verwendet haben.

Die Wiederherstellung von Daten, die von Wipern wie CryWiper betroffen sind, kann schwierig sein. Aus diesem Grund wird dringend empfohlen, regelmäßige Backups zu erstellen und alle installierten Softwaretools und Cybersicherheitslösungen auf dem neuesten Stand zu halten.

Im Trend

Am häufigsten gesehen

Wird geladen...