В сети появилась новая программа-вайпер, мимикрирующая под шифровальщик-вымогатель

В «Лаборатории Касперского» зафиксировали атаку новой троянской программы, получившей название CryWiper. Внешне активность этого вредоносного ПО имеет все признаки заражения шифровальщиком-вымогателем: он изменяет файлы, добавляет к ним дополнительное расширение .CRY и сохраняет файл README.txt с требованием выкупа, в котором содержится адрес биткойн-кошелька, почта для связи с авторами и идентификатор заражения. Однако по факту он относится к классу вайперов — поврежденные им данные не подлежат восстановлению. Очевидно, что платить выкуп в данном случае просто бессмысленно.

Эксперты ЛК отмечают, что в прошлом сталкивались с программами, которые становились вайперами случайно — вследствие ошибки программистов, неверно реализовавших процесс шифрования файлов. Однако в этот раз основная цель злоумышленников не в получении финансовой выгоды, а именно в уничтожении данных. Данные не шифруются, вместо этого CryWiper перезаписывает их информацией, получаемой при помощи генератора псевдослучайных чисел.

За какими данными охотится CryWiper

По большому счету — за любыми, отсутствие которых не сказывается на работе операционной системы. Он игнорирует файлы с расширениями .exe, .dll, .lnk, .sys, .msi, а также принципиально не трогает ряд папок в директории C:\Windows. Фокусируется CryWiper на базах данных, архивах и пользовательских документах.

На данный момент были зафиксированы исключительно точечные атаки на цели в Российской Федерации. Однако, как обычно, никто не может гарантировать, что тот же код не может быть применен и против иных целей.

Как оставаться в безопасности

Для того чтобы защитить компьютеры и данные как от шифровальщиков-вымогателей, так и от вайперов, эксперты рекомендуют применять следующие меры:

  • тщательно контролировать подключения при помощи служб удаленного доступа: запретить подключение из общедоступных сетей, организовывать RDP-доступ только через VPN, использовать уникальные надежные пароли и двухфакторную аутентификацию;
  • своевременно обновлять критическое программное обеспечение, уделяя особое внимание системе, защитным решениям, VPN-клиентам, средствам организации удаленного доступа;
  • периодически повышать осведомленность сотрудников о современных киберугрозах, например при помощи специализированных онлайн-инструментов;
  • применять комплексные решения для защиты как рабочих устройств, так и периметра корпоративной сети.

С заботой о вашей безопасности, команда Origin Security

Оставить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *