كاسبرسكي يجد حصان طروادة جديد يسمى CryWiper ، ما هو؟

جاكرتا - اكتشف خبراء كاسبرسكي هجوم حصان طروادة جديد ، يدعى CryWiper. هذه البرامج الضارة عبارة عن ممحاة (ممسحة) ، حيث لا يمكن استعادة الملفات التي تم تعديلها بواسطة CryWiper إلى حالتها الأصلية إلى الأبد.

لذلك ، إذا رأيت ملاحظة تطلب فدية وكان الملف يحتوي على ملف . تمديد CRY ، لا تتسرع في دفع الفدية ، لأنها ستكون مضيعة.

يعتقد خبراء كاسبرسكي أن الهدف الرئيسي للمهاجمين ليس المكاسب المالية ، ولكن تدمير البيانات. لا يتم تشفير الملفات حقا بخلاف ذلك ، يقوم حصان طروادة بالكتابة فوقها ببيانات تم إنشاؤها عشوائيا.

ما هو CryWiper بعد

سيؤدي حصان طروادة إلى إتلاف أي بيانات بما في ذلك تلك التي ليست ضرورية لوظائف نظام التشغيل. لن تؤثر هذه البرامج الضارة على الملفات ذات الامتدادات .exe أو .dll أو .lnk أو .sys أو .msi. تركز البرامج الضارة على قواعد البيانات والمحفوظات ومستندات المستخدم.

حتى الآن ، لم ير خبراء كاسبرسكي سوى هجمات تستهدف روسيا. ومع ذلك ، لا يمكن لأحد أن يضمن عدم استهداف هذه البرامج الضارة لأشخاص آخرين.

كيف يعمل حصان طروادة CryWiper

بصرف النظر عن الكتابة مباشرة على محتويات الملف باستخدام سلة المهملات ، يقوم CryWiper أيضا بما يلي:

إنشاء مهمة تعيد تشغيل الحذف كل خمس دقائق باستخدام "جدولة المهام" ؛يرسل اسم الكمبيوتر المصاب إلى خادم C&C وينتظر الأوامر لبدء الهجوم ؛يقتل العمليات المرتبطة بما يلي: خوادم قاعدة بيانات MySQL و MS SQL وخوادم بريد MSExchange وخدمات ويب MS Active Directoryحذف النسخ الاحتياطية للملفات بحيث لا يمكن استردادهاتعطيل الاتصال بالنظام المتأثر عبر بروتوكول الوصول عن بعد RDP (بروتوكول سطح المكتب البعيد).