卡巴斯基发现了一个名为CryWiper的新木马,它是什么?

雅加达 - 卡巴斯基专家发现了一种新的木马攻击,名为CryWiper。该恶意软件是一种橡皮擦(擦除器),其中由 CryWiper 修改的文件无法永远恢复到其原始状态。

因此,如果您看到要求赎金的便条并且该文件带有.CRY延期,不要急于支付赎金,因为那样会浪费。

卡巴斯基专家认为,攻击者的主要目标不是经济利益,而是数据破坏。文件并没有真正加密,否则,特洛伊木马会用随机生成的数据覆盖它们。

CryWiper之后是什么

该木马将损坏任何数据,包括那些对操作系统功能无关紧要的数据。此恶意软件不会影响扩展名为 .exe、.dll、.lnk、.sys或.msi的文件。该恶意软件专注于数据库、档案和用户文档。

到目前为止,卡巴斯基专家只看到了针对俄罗斯的攻击。但是,没有人可以保证此恶意软件不会针对其他人。

CryWiper 木马如何工作

除了用垃圾直接覆盖文件内容外,CryWiper还执行以下操作:

使用任务计划程序创建每五分钟重新启动一次删除的任务;将受感染计算机的名称发送到C&C服务器,并等待命令开始攻击;终止与以下相关的进程:MySQL 和 MS SQL 数据库服务器、MSExchange 邮件服务器和 MS Active Directory Web 服务删除文件的卷影副本,使其无法恢复禁用通过 RDP(远程桌面协议)远程访问协议与受影响系统的连接。