/ Автор: orsecadmin | Оставить комментарий
В «Лаборатории Касперского» зафиксировали атаку новой троянской программы, получившей название CryWiper. Внешне активность этого вредоносного ПО имеет все признаки заражения шифровальщиком-вымогателем: он изменяет файлы, добавляет к ним дополнительное расширение .CRY и сохраняет файл README.txt с требованием выкупа, в котором содержится адрес биткойн-кошелька, почта для связи с авторами и идентификатор заражения. Однако по факту он относится к классу вайперов — поврежденные им данные не подлежат восстановлению. Очевидно, что платить выкуп в данном случае просто бессмысленно.
Эксперты ЛК отмечают, что в прошлом сталкивались с программами, которые становились вайперами случайно — вследствие ошибки программистов, неверно реализовавших процесс шифрования файлов. Однако в этот раз основная цель злоумышленников не в получении финансовой выгоды, а именно в уничтожении данных. Данные не шифруются, вместо этого CryWiper перезаписывает их информацией, получаемой при помощи генератора псевдослучайных чисел.
За какими данными охотится CryWiper
По большому счету — за любыми, отсутствие которых не сказывается на работе операционной системы. Он игнорирует файлы с расширениями .exe, .dll, .lnk, .sys, .msi, а также принципиально не трогает ряд папок в директории C:\Windows. Фокусируется CryWiper на базах данных, архивах и пользовательских документах.
На данный момент были зафиксированы исключительно точечные атаки на цели в Российской Федерации. Однако, как обычно, никто не может гарантировать, что тот же код не может быть применен и против иных целей.
Как оставаться в безопасности
Для того чтобы защитить компьютеры и данные как от шифровальщиков-вымогателей, так и от вайперов, эксперты рекомендуют применять следующие меры:
- тщательно контролировать подключения при помощи служб удаленного доступа: запретить подключение из общедоступных сетей, организовывать RDP-доступ только через VPN, использовать уникальные надежные пароли и двухфакторную аутентификацию;
- своевременно обновлять критическое программное обеспечение, уделяя особое внимание системе, защитным решениям, VPN-клиентам, средствам организации удаленного доступа;
- периодически повышать осведомленность сотрудников о современных киберугрозах, например при помощи специализированных онлайн-инструментов;
- применять комплексные решения для защиты как рабочих устройств, так и периметра корпоративной сети.
С заботой о вашей безопасности, команда Origin Security