CryWiper: nep-ransomware

New CryWiper malware irreversibly corrupts files posing as ransomware.

Onze experts hebben een aanval ontdekt van een nieuwe trojan, die ze CryWiper hebben genoemd. Op het eerste gezicht lijkt deze malware op ransomware: het wijzigt bestanden, voegt er een extra extensie aan toe, en bewaart een README.txt bestand met een losgeldbericht, die het bitcoinwalletadres, het contact-e-mailadres van de malwaremakers en het infectie-ID bevat. In feite is deze malware echter een wiper: een door CryWiper gewijzigd bestand kan niet in zijn oorspronkelijke staat worden hersteld – nooit. Dus als u een losgeldbericht ziet en uw bestanden hebben een nieuwe.CRY-extensie, haast u dan niet om het losgeld te betalen: dit heeft geen zin.

In het verleden hebben we enkele malwarestammen gezien die per ongeluk wipers werden, gewoonlijk door fouten van hun makers die versleutelingsalgoritmen slecht implementeerden. Deze keer is dat echter niet het geval: onze deskundigen zijn ervan overtuigd dat het hoofddoel van de aanvallers niet financieel gewin is, maar het vernietigen van gegevens. De bestanden worden niet echt versleuteld. In plaats daarvan overschrijft de Trojan ze met pseudo-willekeurig gegenereerde gegevens.

Waar CryWiper naar op zoek is

De trojan corrumpeert alle gegevens die niet essentieel zijn voor het functioneren van het besturingssysteem. Het heeft geen invloed op bestanden met de extensies.exe,.dll..lnk,.sys of.msi, en negeert verschillende systeemmappen in de map C:\Windows. De malware richt zich op databases, archieven en gebruikersdocumenten.

Tot nu toe hebben onze deskundigen alleen gerichte aanvallen gezien op doelen binnen de Russische Federatie. Maar zoals gewoonlijk kan niemand garanderen dat dezelfde code niet tegen andere doelen wordt gebruikt.

Hoe de CryWiper-trojan werkt

Naast het direct overschrijven van de inhoud van bestanden met rotzooi, doet CryWiper ook het volgende:

  • Creëert een taak die de wiper elke vijf minuten opnieuw start met behulp van de Taakplanner;
  • Stuurt de naam van de geïnfecteerde computer naar de C&C-server en wacht op een commando om een aanval te starten;
  • Stopt processen met betrekking tot: MySQL- en MS SQL-databaseservers, MS Exchange-mailservers en MS Active Directory-webdiensten (anders zou de toegang tot sommige bestanden worden geblokkeerd en zou het onmogelijk zijn deze te corrumperen);
  • Verwijdert schaduwkopieën van bestanden, zodat ze niet kunnen worden hersteld (maar om de een of andere reden alleen op de C: schijf);
  • Schakelt de verbinding met het getroffen systeem via het RDP-protocol voor toegang op afstand uit.

Het doel van dat laatste is niet helemaal duidelijk. Misschien probeerden de makers van de malware met een dergelijke uitschakeling het werk van het incident response-team te bemoeilijken, dat duidelijk liever op afstand toegang zou hebben tot de getroffen machine – in plaats daarvan zouden ze nu fysieke toegang moeten krijgen. Technische details van de aanval en indicatoren van de compromittering zijn te vinden in een post op Securelist (alleen in het Russisch).

Hoe u beschermd blijft

Om de computers van uw bedrijf te beschermen tegen zowel ransomware als wipers, raden onze experts de volgende maatregelen aan:

  • Controleer zorgvuldig de verbindingen voor externe toegang tot uw infrastructuur: verbied verbindingen vanaf openbare netwerken, sta RDP-toegang alleen toe via een VPN-tunnel en gebruik unieke sterke wachtwoorden en tweestapsverificatie;
  • Werk kritieke software tijdig bij, met speciale aandacht voor het besturingssysteem, beveiligingsoplossingen, VPN-clients en tools voor toegang op afstand;
  • Verhoog het beveiligingsbewustzijn van uw werknemers, bijvoorbeeld met behulp van gespecialiseerde online tools;
  • Gebruik geavanceerde beveiligingsoplossingen om zowel werkapparaten als de perimeter van het bedrijfsnetwerk te beschermen.
Tips