Logiciel malveillant CryWiper

Les acteurs de la menace utilisent un tout nouvel outil malveillant dans des attaques ciblées contre les mairies et les tribunaux en Russie. La menace malveillante est suivie sous le nom de CryWiper par les chercheurs de Kaspersky. Des détails supplémentaires sur les campagnes d'attaques ont été révélés par le service d'information Izvestia.

Selon les informations disponibles, CryWiper se présente comme une menace de ransomware déployée dans le cadre d'une attaque à motivation financière. La menace aura un impact sur les données trouvées sur les systèmes informatiques piratés et les laissera dans un état inutilisable. Les fichiers verrouillés auront '.cry' attaché à leurs noms d'origine. Izvestia rapporte que les victimes reçoivent une note de rançon exigeant le paiement de 0,5 BTC (Bitcoin). Au taux de change actuel de la crypto-monnaie, la rançon vaut plus de 8500 $. Les fonds devraient être transférés à l'adresse de cryptowallet fournie.

La récupération de données n'est pas possible

En réalité, cependant, les victimes de CryWiper ne pourront pas restaurer leurs données, même si elles répondent aux exigences des attaquants. La raison en est que CryWiper détruit les données des fichiers qu'il affecte. Cette fonctionnalité ne semble pas être le résultat d'une programmation défectueuse et est plutôt une conséquence prévue de l'exécution de CryWiper. Les experts ont découvert que l'algorithme utilisé pour la destruction des données des victimes est Mersenne Vortex PRNG. Il s'agit d'un choix rarement utilisé dans quelques menaces de logiciels malveillants, par exemple IsaacWiper. CryWiper pourrait également être connecté aux menaces de ransomware Xorist et MSIL Agent, car tous les trois utilisent les mêmes adresses e-mail pour le contact.

Détails supplémentaires

CryWiper est diffusé sous la forme d'un exécutable 64 bits ciblant les systèmes Windows. La menace a été créée à l'aide du langage de programmation C++ et s'est conformée à la boîte à outils MinGW-w64 et au compilateur GCC. Les experts en cybersécurité soulignent que ne pas utiliser Microsoft Visual Studio, plus typique, est un choix inhabituel et pourrait signaler que les pirates responsables de la menace utilisaient des appareils non Windows.

La récupération des données affectées par des essuie-glaces tels que CryWiper pourrait être difficile. C'est pourquoi il est fortement recommandé de créer des sauvegardes régulières et de maintenir à jour tous les outils logiciels et solutions de cybersécurité installés.