CryWiperマルウェア

CryWiperは、身代金のメモを残すことでランサムウェアを模倣するワイパー型マルウェアですが、CryWiperによって改ざんされたファイルは、たとえターゲットが支払いを選択したとしても、復元することはできません。CryWiperはターゲットのシステムファイルを暗号化するのではなく、ランダムなデータで上書きし、元のデータを復元不可能にします。 

CryWiperは2022年後半に初めて発見され、市長室や地方裁判所を含むロシア政府機関を標的としていた。CryWiperの攻撃について帰属は明らかにされていないが、ロシア・ウクライナ紛争の代理サイバー戦争に関連している可能性が高い。

CryWiperは、ドキュメント、アーカイブ、MySQLやMicrosoft SQL Serverなどのデータベースファイルを永久に破壊し、Windowsオペレーティングシステムファイルや通常の実行可能ファイルには影響を与えません。CryWiperは、DoubleZero、IsaacWiper、HermeticWiper、CaddyWiper、WhisperGate、AcidRain、Industroyer2などの他のワイパーマルウェアファミリーとソースコードを共有していません。しかし、Trojan-Ransom.Win32.XoristやTrojan-Ransom.MSIL.Agentのランサムウェアと同じ電子メールアドレスを偽のランサムノートに使用しています。

CryWiperのペイロードは、C++で書かれた64ビットのWindows実行ファイルで、多くの場合browserupdate.exeと名付けられる。CryWiperがシステムに感染すると、システム情報を収集し、攻撃者が制御するコマンド＆コントロール（C2）サーバーに送信し、マルウェアのデータ破壊段階に進むかどうかを決定する。続行するよう指示された場合、CryWiperは擬似乱数生成器の出力を使用してファイルの実際のコンテンツを置き換え、README.txtという典型的な身代金メモを投下し、破壊されたファイルを含む各ディレクトリに0.5ビットコインを要求する。

CryWiperマルウェアが使用するテクニックは以下の通り：

• WinAPI関数コールを使って悪意のある活動の大半を実行する。
• CryWiperの第一段階のペイロードは、感染原因を難読化するために4日間スリープする。 
• 5分ごとに実行されるスケジュールされたタスクを作成し、コマンド・アンド・コントロール（C2）サーバーに連絡し、ホストに関する情報を送信し、ファイル破壊を続行するかどうかの決定を受け取る。
• MySQL、MS SQL Server、Microsoft Exchange、Microsoft Active Directoryなどの機密ファイルへのアクセスをブロックするプロセスをシャットダウンします。
• ファイルの復元を防ぐため、影響を受けたファイルのシャドウコピーを削除する。
• WindowsレジストリHKLMSYSTEM\CurrentControlSetを変更し、感染したシステムへのRDPアクセスをブロックする。
• Windows OSのコア機能を維持するため、C:⾳Windowsディレクトリ、ブートディレクトリ、および選択されたファイル拡張子（.exe、.dll、.lnk、.sys 、.msi）内のファイルを暗号化しません。 
• ターゲットのファイルの内容を上書きするために、"Mersenne Vortex "という名前の既知の擬似乱数ジェネレーターを使用する。