Malware CryWiper

O que é o malware CryWiper?

O CryWiper é um malware wiper que imita o ransomware ao deixar uma nota de resgate, mas os arquivos alterados pelo CryWiper não podem ser restaurados, mesmo que os alvos decidam pagar. Em vez de criptografar os arquivos do sistema alvo, o CryWiper os substitui por dados aleatórios, tornando os dados originais irrecuperáveis. 

O CryWiper foi descoberto pela primeira vez no final de 2022, tendo como alvo entidades governamentais russas, incluindo prefeituras e tribunais regionais. Embora nenhuma atribuição tenha sido feita para os ataques do CryWiper, eles provavelmente estão relacionados à guerra cibernética por procuração do conflito Rússia-Ucrânia.

O CryWiper destrói permanentemente documentos, arquivos e arquivos de banco de dados, como o MySQL e o Microsoft SQL Server, deixando os arquivos do sistema operacional Windows e os executáveis regulares sem impacto. O CryWiper não compartilha o código-fonte com outras famílias de malware wiper, como DoubleZero, IsaacWiper, HermeticWiper, CaddyWiper, WhisperGate, AcidRain ou Industroyer2. No entanto, ele usa o mesmo endereço de e-mail em sua falsa nota de resgate que o dos ransomwares Trojan-Ransom.Win32.Xorist e Trojan-Ransom.MSIL.Agent.

Últimas notícias do CryWiper

Como o CryWiper funciona

A carga útil do CryWiper é um executável do Windows de 64 bits escrito em C++, geralmente denominado browserupdate.exe. Depois que o CryWiper infecta um sistema, ele coleta e envia informações do sistema para um servidor de comando e controle (C2) controlado pelo atacante, que determina se deve prosseguir para o estágio de destruição de dados do malware. Se for instruído a prosseguir, o CryWiper usa a saída de um gerador de números pseudo-aleatórios para substituir o conteúdo real dos arquivos e lança uma nota de resgate típica chamada README.txt, exigindo 0,5 Bitcoin em cada diretório contendo arquivos destruídos.

As técnicas usadas pelo malware CryWiper incluem:

  • Usa chamadas de função WinAPI para realizar a maior parte de sua atividade maliciosa
  • A carga útil do primeiro estágio do CryWiper dorme por quatro dias para ofuscar a causa da infecção 
  • Cria uma tarefa agendada que é executada a cada cinco minutos, entra em contato com um servidor de comando e controle (C2), envia informações sobre o host e recebe uma decisão de prosseguir ou não com a destruição do arquivo
  • Desliga processos que bloqueiam o acesso a arquivos confidenciais, como MySQL, MS SQL Server, Microsoft Exchange, Microsoft Active Directory
  • Exclui cópias de sombra dos arquivos afetados para impedir a recuperação de arquivos
  • Modifica a configuração do Registro do Windows HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\fDenyTSConnections para bloquear o acesso RDP ao sistema infectado.
  • Não criptografa arquivos no diretório C:\Windows, diretórios de inicialização e uma lista selecionada de extensões de arquivo (.exe, .dll, .lnk, .sys ou .msi) para manter a funcionalidade principal do sistema operacional Windows 
  • Usa um gerador de números pseudo-aleatórios conhecido chamado "Mersenne Vortex" para substituir o conteúdo dos arquivos do alvo

Sinais de um ataque do CryWiper

Com base nas informações limitadas disponíveis sobre o CryWiper, ele é mais frequentemente entregue em um formato executável portátil (PE) com o nome de arquivo browserupdate.exe. Como o CryWiper sobrescreve arquivos, ele adiciona uma extensão .CRY ou .cry a cada arquivo que altera e coloca um arquivo chamado README.txt em cada diretório, exigindo 0,5 Bitcoins para um decodificador. A nota de resgate contém informações convincentes, como um endereço de e-mail de contato, um número de ID de infecção e um endereço de carteira. No entanto, a análise da carga útil do malware confirma que os arquivos afetados pelo CryWiper não são criptografados, mas sobrescritos com dados de resgate, tornando-os irrecuperáveis.

Como evitar um ataque do CryWiper

A preparação para um ataque do CryWiper é fundamental, pois os arquivos não podem ser recuperados, mesmo que você esteja disposto a pagar o resgate solicitado. Isso significa instalar e implementar soluções confiáveis de segurança de endpoint, como software antivírus ou um produto avançado de detecção e resposta de endpoint (EDR), e atualizá-las regularmente. A natureza implacável do impacto do CryWiper também significa que uma estratégia confiável de backup de dados é essencial para restaurar o acesso a qualquer arquivo afetado.

CylanceOPTICS Evita ataques de malware

Blackberry Cylance®, que oferece uma vantagem preditiva sobre as ameaças de dia zero, é eficaz contra malware como o CryWiper. treina agentes de inteligência artificial (IA) para detecção de ameaças usando milhões de arquivos seguros e inseguros. Blackberry Cylance

Blackberry Cylance impede a execução de variantes de malware com base na detecção de vários atributos de arquivos maliciosos, e não em uma assinatura de arquivo específica. Essa abordagem permite que nossos clientes implementem uma postura de segurança que prioriza a prevenção, eficaz contra ameaças desconhecidas, emergentes e polimórficas, bem como contra ameaças tradicionais.

Saiba mais

Recursos relacionados:

Ícone de recurso Prevenção contra perda de dados (DLP) Ícone de recurso Segurança de endpoint Ícone de recurso Plataformas de proteção de endpoints (EPP) Ícone de recurso Detecção e resposta de endpoint (EDR) Ícone de recurso Detecção e resposta estendidas (XDR) Ícone de recurso Gerenciamento de identidade e acesso (IAM) Ícone de recurso Detecção e resposta gerenciadas Ícone de recurso XDR gerenciado Ícone de recurso Estrutura MITRE ATT&CK Ícone de recurso Defesa contra ameaças móveis (MTD) Ícone de recurso Análise de comportamento de usuários e entidades (UEBA) Ícone de recurso Arquitetura Zero Trust Ícone de recurso Acesso à rede de confiança zero (ZTNA) Ícone de recurso Segurança Zero Trust Ícone de recurso Gerenciamento de eventos e informações de segurança (SIEM) Ícone de recurso Serviço de acesso seguro na borda (SASE)
Mais recursos