CryWiper偽裝加密勒索攻擊

一款被命名為CryWiper的新型木馬程式,冒充加密勒索程式,把副檔名改為.CRY,並在README.txt檔案內加入勒索訊息,以及Bitcoin錢包的地址以及聯絡惡意程式創作者的電郵地址,但其真身其實是Wiper,被修改的檔案根本無法復原。

CryWiper的目標

CryWiper木馬程式會破壞對操作系統重要以外的其他檔案,它不會影響.exe、.dll、.lnk、.sys或.msi,以及無視C:\Windows內幾個資料夾,惡意程式主要以資料庫、封存和用戶文件為目標,暫時只見攻擊瞄準俄羅斯聯邦,但不知到將來會否改變目標。

CryWiper的運作方式

除了以廢物覆蓋內容,CryWiper也進行了以下活動:

  • 在Task Scheduler建立工作,每5分鍾重新啟動程式。
  • 向C&C伺服器傳送受感染電腦的名稱,並等待指令開始攻擊。
  • 停止MySQL和MS SQL資料庫伺服器、MS Exchange電郵伺服器和MS Active Directory相關程序
  • 刪除劏安的shadow copy令它們無法復原(不過只限C:)
  • 經由RDP遙距存取協議關閉受影響系統的連線

慎防Ransomware和Wiper

要防止Ransomware和Wiper入侵公司的電腦,我們建議:

  • 小心控制遙距存取連線到基礎設施,禁止從公共網絡連線,容許RDP透過PN連線,以及使用獨一無二的強力密碼及雙重認證。
  • 經常更新重要軟件,特別注意操作系統、保安方案、VPN客端和遙距工具。
  • 提升員工的網絡安全意識,可以透過專門的網上工具協助。
  • 部署先進的保安方案,保護工作裝置和公司網絡。

資料來源:Kaspersky Blog