در نگاه اول این بدافزار شبیه به باجافزار است. CryWiper فایلها را دستکاری کرده، به آنها افزونه .CRY اضافه میکند و فایل README.txt را با یادداشت باج حاوی آدرس کیفپول بیتکوین و غیره ذخیره میکند.
با این حال در حقیقت این بدافزار یک وایپر است و فایل دستکاریشده توسط CryWiper نمیتواند به وضعیت قبلی خود –تحت هیچ شرایطی- بازگردد. پس اگر یادداشت باج دیدید و فایلهایتان نیز افزونه جدید .CRY گرفتند برای پرداخت مبلغ باج عجله نکنید زیرا این کار بیهوده است زیرا فایلها در واقع رمزگذاری نمیشوند بلکه این تروجان آنها را با دادههای شبهتصادفی تولیدشده بازنویسی میکند و تحت هیچ شرایطی امکان بازگشت فایل به وضعیت قبل وجود ندارد.یک تروجان جدید که به عنوان یک محموله باج افزار پنهان شده است، توسط محققان به تازگی کشف شده است که سوالاتی را در مورد دلیل وجود و هویت اپراتورهای آن ایجاد کرده است.CryWiper، که به دلیل پسوند متمایز «.cry» که به فایلها اضافه میشود، نامگذاری شده است، در اولین نگاه به نظر میرسد که یک نوع باجافزار جدید است. دستگاههای قربانیان ظاهراً رمزگذاری شدهاند و یک یادداشت باج داده میشود که خواستار ارسال پول به آدرس کیف پول بیتکوین است. با این حال، فایل ها در واقع پیش از بازیابی خراب شده اند.هنگامی که بر روی سیستم قربانی قرار می گیرد، CryWiper نام دستگاه قربانی را به سرور فرمان و کنترل (C2) می فرستد و منتظر فرمان فعال سازی برای شروع یک حمله است.این از روشی مشابه با باجافزار پیروی میکند، با عملکردهایی از جمله حذف کپی سایه حجمی برای جلوگیری از بازیابی فایلها و زمانبندی خود در Windows Task Scheduler برای اطمینان از راهاندازی مجدد هر پنج دقیقه.CryWiper همچنین خدمات MS SQL، MySQL، MS Active Directory و MS Exchange را متوقف می کند تا از خراب شدن فایل های مرتبط با آنها جلوگیری شود.محققان خاطرنشان کردند که اتصال به دستگاههای آلوده از طریق پروتکل دسکتاپ از راه دور (RDP) را نیز غیرفعال میکند و معتقدند که این امر باعث ناکام گذاشتن تلاشهای تیمهای امنیتی در واکنش به این حادثه میشود.این نشاندهنده انحراف از رفتار باجافزار معمولی است، زیرا بارهای پرداختی معمولاً دسترسی RDP را برای تسهیل حملات جانبی در سراسر شبکهها حفظ میکنند.
در زمان نگارش این مقاله، کسپرسکی فقط حملات هدفمند CryWiper را در فدراسیون روسیه مشاهده کرده است. با توجه به ماهیت ناشناخته گروه کرای وایپر، و همچنین هدف استراتژیک تروجان در این مرحله، کسب و کارها باید نسبت به نشانه های محرمانه محموله هوشیار باشند.
دیدگاه ها