CryWiper: Fake-Ransomware zerstört Statistik insbesondere in Russland
[ad_1]
Kaspersky warnt vor Schädlingen, die sich scheinbar wie eine Ransomware verhalten, die Statistik jedoch direktemang zerstören statt zu verschlüsseln. Die Schadsoftware nach sich ziehen die Virenanalysten aufwärts Systemen in Russland entdeckt.
Ist dasjenige eine Ransomware?
Die Virenanalysten kennzeichnen, dass die Schadsoftware zusammen mit Rechnerbefall Dateien verändert, ihnen in diesem Zusammenhang eine .CRY-Dateisuffix ergänzt und eine README.txt-File mit einer Erpressernachricht aufwärts dem Rechner speichert. In welcher Nachricht Ergehen sich eine Bitcoin-Wallet-Postanschrift, eine Kontakt-Elektronische Post und eine Infektions-ID. Die Schadsoftware entpuppt sich jedoch denn Wiper, ergo ein Schädling, welcher Statistik zerstört. Die vermeintlich verschlüsselten Dateien lassen sich niemals in ihren ursprünglichen Zustand zurückversetzen, verdeutlichen die Autoren. Finde man ergo eine Erpressernachricht und Dateien mit welcher .CRY-Kasusendung, ist die Zahlung von Lösegeld sinnlos.
Zusammen mit welcher Untersuchung kamen die Virenspezialisten zu dem Schluss, dass es sich nicht um eine Fehlfunktion und versehentliches Zerstören von Statistik aufgrund von mies programmierten Verschlüsselungsalgorithmen handelt, wie man sie in welcher Vergangenheit gelegentlich beobachten konnte. Vielmehr umziehen die Analysten von absichtlicher Datenzerstörung aus. Die Statistik werden nicht verschlüsselt, sondern welcher Trojanisches Pferd überschreibt sie mit Pseudo-Zufallsdaten.
Unterdies drittklassig CryWiper nicht mehr da Statistik, die nicht essenziell zu Gunsten von dasjenige Laufen des Betriebssystems sind. Dateien mit den Erweiterungen .exe, .dll, .lnk, .sys oder .msi sowie mehrere Unterordner von C:Windows spart welcher Schädling aus. Er konzentriert sich aufwärts Datenbanken, Archive und Nutzer-Dokumente.
Bislang nur Ziele in Russland
Bislang hat Kaspersky lediglich Angriffe aufwärts Ziele in welcher Russischen Föderation entdeckt. Wie gebräuchlich könne jedoch niemand garantieren, dass derselbe Schadcode nicht gegen andere Ziele zum Hinterlegung kommt.
Neben dem Betiteln von Dateiinhalten mit Müll hat CryWiper noch weitere Funktionen. So legt die Schadsoftware verknüpfen Task an, welcher sie nicht mehr da fünf Minuten erneut startet. Den Namen des infizierten Computers sendet sie zudem an Command-and-Control-Server und wartet aufwärts verknüpfen Kommando, den Sturm zu starten. CryWiper beendet Prozesse, die zu MySQL, MS SQL und Exchange sowie zu MS Active Directory Web Services in Besitz sein von, da andernfalls deren Dateien verkrampft und im Zuge dessen vor Manipulationen geschützt seien.
Zudem löscht welcher Schädling die Schattenkopien, jedoch nur aufwärts Laufwerk C: – hier könnte zu Gunsten von betroffene Admins ein dicker Teppich Hoffnungsschimmer gegeben, dass darin noch Sicherheitskopien von Datenbanken aufwärts Laufwerk D: legen, dasjenige in welcher Realität oftmals zu Gunsten von Exchange- und SQL-Server genutzt wird. Außerdem knipst er RDP-Dienste aus. Kaspersky vermutet, dass soll die Arbeit von etwaigen Incident-Response-Teams verschlimmern.
Tipps zum Sicherheit
In dem Weblog-Item von Kaspersky verschenken die Autoren nachrangig Hinweise zu Schutzmaßnahmen. So sollen IT-Verantwortliche gründlich aufwärts die Fernverbindungen in die eigene Unterbau schauen. Zugriffe aus öffentlichen Netzen sollten unterbunden, RDP-Zugriffe etwa mittels VPN-Tunnel geschützt sowie starke Passwörter in Komposition mit Zwei-Koeffizient-Authentifizierung genutzt werden. Kritische Software sollte zeitnah Updates erhalten – mit besonderem Schwerpunkt beim operating system, welcher Sicherheitssoftware, VPN-Clients sowie Fernzugriffwerkzeugen. Schließlich steht nachrangig die Mitarbeiterschulung aufwärts welcher verkettete Liste, um zu Gunsten von dasjenige Themenkreis IT-Sicherheit zu sensibilisieren.
Schon seit dieser Zeit einiger Zeit ist ein langsamer Wandel zusammen mit Ransomware zu beobachten. Unterdies umziehen die Cyberkriminellen weg von welcher reinen (fehleranfälligen) lokalen Verschlüsselung mit Lösegelderpressung, jenseits dasjenige Ausschleusen und Verkaufen von sensiblen, zusammen mit den Einbrüchen erbeuteten Statistik hin zur Zerstörung welcher lokalen Statistik nachher dem Kopieren.
(dmk)