CryWiper 恶意软件

CryWiper 是一种雨刷恶意软件，它模仿勒索软件留下赎金条，但被 CryWiper 更改的文件无法恢复--即使目标选择支付赎金。CryWiper 不是加密目标系统文件，而是用随机数据覆盖文件，使原始数据无法恢复。 

CryWiper 于 2022 年末首次被发现针对俄罗斯政府实体，包括市长办公室和地区法院。虽然 CryWiper 的攻击没有归属，但很可能与俄乌冲突中的代理网络战有关。

CryWiper 會永久銷毀文件、檔案和資料庫檔案，例如 MySQL 和 Microsoft SQL Server，而 Windows 作業系統檔案和一般可執行檔則不受影響。CryWiper 不与其他雨刷恶意软件家族共享源代码，如 DoubleZero、IsaacWiper、HermeticWiper、CaddyWiper、WhisperGate、AcidRain 或 Industroyer2。不过，它在伪造的赎金说明中使用了与 Trojan-Ransom.Win32.Xorist 和 Trojan-Ransom.MSIL.Agent 相同的电子邮件地址。

CryWiper 有效载荷是一个用 C++ 编写的 64 位 Windows 可执行文件，通常被命名为browserupdate.exe。CryWiper 感染系统后，会收集系统信息并将其发送到攻击者控制的命令与控制（C2）服务器，由该服务器决定是否进入恶意软件的数据破坏阶段。如果指示继续执行，CryWiper 会使用伪随机数生成器的输出来替换文件的实际内容，并在每个包含被销毁文件的目录中投放名为README.txt 的典型赎金说明，索要 0.5 比特币。

CryWiper 恶意软件使用的技术包括

• 使用 WinAPI 函数调用来执行大部分恶意活动
• CryWiper 的第一阶段有效载荷会休眠四天，以掩盖感染原因 
• 创建一个每五分钟运行一次的计划任务，联系命令与控制 (C2) 服务器，发送有关主机的信息，并接收是否继续销毁文件的决定
• 关闭阻止访问 MySQL、MS SQL Server、Microsoft Exchange、Microsoft Active Directory 等敏感文件的进程
• 删除受影响文件的影子副本，防止文件恢复
• 修改 Windows 注册表 HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\fDenyTSConnections 设置，阻止 RDP 访问受感染系统
• 不加密 C:\Windows 目录、启动目录和选定文件扩展名列表（.exe、.dll、.lnk、.sys 或 .msi）中的文件，以保持 Windows 操作系统的核心功能 
• 使用名为 "梅森漩涡 "的已知伪随机数生成器覆盖目标文件内容