擦除器攻击正在破坏俄罗斯法院和市长办公室的数据
据安全公司 Kaspersky 和 Izvestia 新闻服务称,俄罗斯的市长(未公开是具体哪个市)办公室和法院正受到前所未见的恶意软件的攻击,这些恶意软件伪装成勒索软件,但实际是一个擦除器,可以永久破坏受感染系统上的数据。
卡巴斯基研究人员将擦除器命名为 CryWiper,卡巴斯基发现该恶意软件对俄罗斯的目标发起了“精确攻击”。与此同时,Izvestia报道称,目标是俄罗斯市长办公室和法院。其他细节,包括有多少组织受到攻击以及恶意软件是否成功擦除数据,目前还不得而知。
Wiper 恶意软件在过去十年中变得越来越普遍。 年,一种名为 Shamoon 的破坏者对沙特阿美公司和卡塔尔的拉斯天然气公司造成了严重破坏。四年后,Shamoon 的新变种卷土重来,袭击了沙特多个组织。 年,名为 NotPetya 的自我复制恶意软件在数小时内传遍全球,估计造成 100 亿美元的损失。
过去的一年里,擦除器恶意软件纷至沓来。包括 DoubleZero、IsaacWiper、HermeticWiper、CaddyWiper、WhisperGate、AcidRain、Industroyer2 和 RuRansom。卡巴斯基表示,它在过去几个月发现了 CryWiper 的攻击企图。据 Izvestia 报道,在感染目标后,恶意软件留下了勒索声明文件,要求受害者支付0.5比特币,并包括一个可以用来付款的钱包地址。
CryWiper 与针对乌克兰组织的 IsaacWiper 有一些相似之处。两种擦除器都使用相同的算法来生成伪随机数,这些伪随机数会通过覆盖目标文件中的数据来继续破坏目标文件。该算法的名称是 Mersenne Vortex PRNG。该算法很少使用,因此突出了共性。CryWiper 与称为 Trojan-Ransom.Win32.Xorist 和 Trojan-Ransom.MSIL.Agent 的勒索软件家族有一个单独的共性。具体来说,这三者的赎金记录中的电子邮件地址是相同的。
卡巴斯基分析的 CryWiper 样本是一个适用于 Windows 的 64 位可执行文件。它是用 C++ 编写的,并使用 MinGW-w64 工具包和 GCC 编译器编译。这是一个不寻常的选择,因为用 C++ 编写的恶意软件使用 Microsoft 的 Visual Studio 更为常见。
这种选择的一个可能原因是它为开发人员提供了将他们的代码移植到 Linux 的选择。考虑到 CryWiper 对 Windows 编程接口进行的特定调用的次数,这个原因似乎不太可能。更可能的原因是编写代码的开发人员使用的是非 Windows 设备。
