俄罗斯法院被新CryWiper数据雨刷恶意软件冒充勒索软件

一个新的数据清理恶意软件叫做Cry雨刮器被发现针对俄罗斯政府机构，包括市长办公室和法院。

卡巴斯基研究人员Fedor Sinitsyn和Janis Zinchenko在一篇报道中表示：“尽管它伪装成勒索软件，并向受害者勒索钱财，以‘解密’数据，但它实际上并没有加密，而是故意破坏受影响系统中的数据”。

俄语新闻刊物《消息报》分享了袭击的更多细节。到目前为止，入侵还没有被归因于特定的敌对团体。

CryWiper是一种基于C++的恶意软件，被配置为通过预定任务建立持久性，并与命令和控制（C2）服务器通信以发起恶意活动。

除了终止与数据库和电子邮件服务器相关的进程外，该恶意软件还具备删除文件的影子副本和修改Windows注册表的功能，以防止RDP连接，从而可能阻碍事件响应工作。

作为最后一步，除扩展名为“.exe”、“.dll”、“lnk”、“.sys”和“.msi”的文件外，擦拭器会损坏所有文件，同时还会跳过特定目录，包括C:\Windows、Boot和tmp，否则可能会导致机器无法运行。

被垃圾数据覆盖的文件随后附加了一个名为“.CRY”的扩展名，之后会丢弃一张勒索通知，以给人一种勒索软件程序的印象，敦促受害者支付0.5比特币以恢复访问。

“CryWiper的活动再次表明，支付赎金并不能保证文件的恢复，”研究人员称，恶意软件“故意破坏文件内容”。

CryWiper是继RURansom之后针对俄罗斯的第二个报复性雨刷恶意软件，RURansom是一个基于.NET的雨刷，今年3月早些时候被发现针对俄罗斯的实体。

俄罗斯和乌克兰之间正在发生的冲突涉及部署多个雨刷器，后者被各种恶意软件攻击，如WhisperGate、HermeticWiper、AcidRain、IsaacWiper、CaddyWiper、Industrier2和DoubleZero。

Trellix研究人员Max Kersten在上个月对破坏性恶意软件的分析中表示：“无论攻击者的技术技能如何，擦拭器都可以有效，因为即使是最简单的擦拭器也会对受影响的系统造成严重破坏”。

“创建这样一个恶意软件所需的时间很短，尤其是与复杂的间谍后门和经常伴随的漏洞相比。在这些情况下，投资回报不必很高，尽管几个擦拭器不太可能对自己造成如此大的破坏”。