CryWiper é escrito principalmente em C++ e é um executável do Windows baseado na arquitetura de 64 bits
O malware CryWiper, um limpador de dados, se disfarça de ransomware para destruir dados propositalmente, sem criptografá-los. O malware foi descoberto recentemente e está se espalhando pela Internet.
Durante um ataque contra os gabinetes e tribunais do prefeito russo, conforme relatado pela mídia russa, esse cenário foi detectado. Além disso, a Kaspersky foi a primeira empresa a descobrir o CryWiper e mais tarde relatou que o malware foi usado para atacar uma organização russa em um ataque realizado pelos operadores do malware.
Análise técnica do malware CryWiper
Após uma inspeção e análise minuciosas do código-fonte do CryWiper, descobriu-se que sua capacidade de limpar os dados dos alvos é totalmente intencional, portanto não é um erro.
CryWiper é escrito principalmente em C++ e é um executável do Windows baseado na arquitetura de 64 bits. Como resultado de sua configuração, o CryWiper abusa de inúmeras funções do WinAPI e permanece oculto sob o seguinte nome: browserupdate.exe. Assim que o malware é executado no sistema já comprometido, ele cria automaticamente uma lista de tarefas agendadas para execução a cada cinco minutos.
Conta Exclusiva ChatGPT: Acesso Ilimitado
Desbloqueie o poder do ChatGPT com recursos premium. Aproveite 80,5% de desconto e garantia de 100% de satisfação. Junte-se hoje e viva a melhor experiência de chat com IA!
Cypress, do Zero à Nuvem: domine a automação de testes com confiabilidade e eficiência
Aprimore suas habilidades de automação de testes com Cypress, desde o início até a integração contínua.
Saiba Mais💻 Torne-se um Desenvolvedor Fullstack!
Domine as tecnologias mais requisitadas do mercado e conquiste sua carreira dos sonhos como Desenvolvedor Fullstack. Inscreva-se hoje!
Inscreva-seEsse Trojan então usa uma solicitação HTTP GET para entrar em contato com seu servidor de comando e controle (C2), passando o nome do sistema infectado como parâmetro para o servidor, a fim de obter acesso ao sistema comprometido.
O CryWiper iniciará imediatamente sua atividade maliciosa se a opção “executar” for retornada. Em um esforço para enganar as vítimas, em alguns casos, os atrasos de execução completos são estendidos até 4 dias, o que equivale a cerca de 345.600 segundos.
Além disso, para destruir os dados, o CryWiper precisa liberar os dados bloqueados e, para isso, interrompe todos os processos marcados como críticos e esses processos estão relacionados a: MySQL; Servidores de banco de dados MS SQL; Servidores de e-mail MS Exchange; Serviços da Web do MS Active Directory.
Como resultado do CryWiper, o Registro do Windows também é modificado para que as conexões RDP sejam impedidas, tornando assim os especialistas de TI remotos incapazes de intervir e responder quando ocorre um incidente.
Extensões e diretórios de arquivos ignorados
Abaixo mencionamos todos os tipos de arquivos que não são destruídos pelo CryWiper: .exe; .dll; .lnk; .sys; .msi; .CHORO. Um gerador de números pseudoaleatórios conhecido como “Mersenne Twister” é usado como algoritmo para corromper os arquivos.
Assim que isso for feito, uma nota de resgate, intitulada ‘README.txt’, será gerada pelo CryWiper. Nesta nota, ele pede 0,5 Bitcoin, que é cerca de $ 8.000 (cerca de R$ 41,6 mil) em troca de um descriptografador para ser liberado.
O malware CryWiper não é um arquivo ransomware da maneira tradicional, mas é um programa de malware capaz de destruir uma grande quantidade de dados em um curto período de tempo.
LEIA TAMBÉM:
Gostou deste conteúdo?
Assine o E-Zine Ramos da Informática e receba semanalmente conteúdos exclusivos focados em desenvolvimento frontend, backend e bancos de dados para turbinar sua carreira tech.
📘 Conteúdo Exclusivo
Dicas, insights e guias práticos para alavancar suas habilidades em desenvolvimento e bancos de dados.
🚀 Hacks de Carreira
Ferramentas, atalhos e estratégias para se destacar e crescer rapidamente no mercado de tecnologia.
🌟 Tendências Tech
As novidades mais relevantes sobre desenvolvimento web, mobile e bancos de dados para você se manter atualizado.
Já somos mais de 5.000 assinantes! Junte-se a uma comunidade de profissionais que compartilham conhecimento e crescem juntos no universo tech.
