一种前所未见的恶意软件正在大肆清除俄罗斯重要数据

卡巴斯基的研究人员发现了一种以前不为人知的恶意软件，称为CryWiper，用于对俄罗斯市长办公室和法院进行破坏性攻击。这种恶意软件会伪装成勒索软件，但实际上是一种数据擦除恶意软件，可以永久销毁受感染系统上的数据。目前有多少机构受到了攻击、该恶意软件是否成功擦除了数据等具体细节还不得而知。

卡巴斯基的报告声称，他们在仔细分析了恶意软件样本后发现，尽管这种木马伪装成勒索软件，向受害者勒索钱财以“解密”数据，但实际上并不加密数据，而是有意破坏受影响系统中的数据。此外，分析该木马的程序代码后发现，这不是开发人员的错误，而是其初衷。

数据擦除恶意软件在过去十年中已变得越来越常见。2012年，一种名为Shamoon的数据擦除软件对沙特阿拉伯的沙特阿美和卡塔尔的拉斯拉凡液化天然气公司（RasGas）造成了严重破坏。四年后，Shamoon的一个新变种卷土重来，攻击了沙特阿拉伯的多家组织。2017年，一种名为NotPetya的自我复制恶意软件在短短数小时内肆虐全球，造成的损失估计高达100亿美元。

专家认为，该恶意软件是专门针对 Windows 系统设计的，因为它使用了对 WinAPI 函数的多次调用。在执行后，CryWiper 使用任务计划程序和 schtasks create 命令创建一个任务，每 5 分钟运行一次其文件。擦除器使用 HTTP GET 请求联系命令和控制服务器，并将受感染系统的名称作为参数传递。C2 依次响应“运行”或“不运行”命令，以确定恶意软件是否必须启动。

在某些情况下，研究人员观察到执行延迟 4 天（345,600 秒）以隐藏感染背后的逻辑。收到运行响应后，CryWiper 使用 taskkill 命令停止与 MySQL 和 MS SQL 数据库服务器、MS Exchange 邮件服务器和 MS Active Directory Web 服务相关的进程。此操作会在加密之前解锁上述合法应用程序使用的文件。CryWiper 将停止与 MySQL、MS SQL 数据库服务器、MS Exchange 电子邮件服务器和 MS Active Directory Web 服务相关的关键进程，以释放锁定的数据以供销毁。

擦除器还会删除受感染机器上的卷影副本，以防止受害者恢复已擦除的文件。为了破坏用户文件，擦除器使用伪随机数生成器“Mersenne Vortex”生成一系列数据覆盖原始文件内容。该恶意软件还将.CRY 扩展名附加到它已损坏的文件中，并投放赎金票据（'README.txt'），要求 0.5 比特币用于解密。

报告总结到，CryWiper 会将自己定位为勒索软件程序，即声称受害者的文件已加密，如果支付赎金，则可以恢复。然而，这是一个骗局：事实上，数据已被销毁，无法归还。

往期推荐