Общински и съдебни институции в Русия са атакувани от непознат досега вирус. Той се представя за криптовирус, който ще иска откуп, но всъщност основната му цел е просто да изтрие необратимо данните в устройството, съобщава Ars technica.

Компанията за киберсигурност Kaspersky е откривател на вируса, като го е кръстила CryWiper. Една от причините за името е, че вирусът слага разширението .cry на файловете, които е унищожил. Cry е английската дума за „плач“.

Вирусът добавя .TXT файл за жертвите си, в който пише адреса на виртуален портфейл за Bitcoin и указания какво да се направи, за да се спаси системата. Реално обаче няма смисъл да се плаща откуп, защото хакерите просто ще приберат парите, а файловете са необратимо увредени.

От Kaspersky казват, че преди е имало подобни вируси, които са се превръщали в триещи поради неволни грешки на хакерите, например неправилно описване на алгоритъма. Не е такъв случая с CryWiper. Тук основната цел е унищожаване на данните. Вирусът не ги криптира, а записва произволно генерирани стойности върху тях и така ги прави невъзможни за възстановяване.

CryWiper не атакува всички файлове. Той дори игнорира системната директори на Windows. Основната му цел са бази данни, архиви, документи. От Kaspersky казват, че до момента са открити атаки само в рамките на Русия. Експертите не изключват вирусът да бъде разпространен и в други страни с течение на времето.

За сега основните жертви са кметства и съдебни институции в Русия. Вирусът вероятно работи от последните няколко месеца срещу конкретни цели. Няма индикации да се разпространява свободно. Експертите по киберсигурност не дават повече подробности за жертвите и броя им. Произходът на вируса също е неизвестен.

Самото разпространение е по класическия метод с фалшиви имейли. Те са с цел да заблудят получателя да изтегли прикачен файл или да посети компрометиран линк. Изтегля се файл, който е написан на C++ и извършва самата инсталация на вируса.

Той се „маскира“ добре, като се рестартира автоматично на всеки пет минути, за да не бъде засечен от системите за сигурност. След това изпраща сигнал до контролен сървър и чака команда за атака. Когато я получи, спира системните процеси, свързани с бази данни, имейл сървъри и др. После изтрива временните копия на файловете, деактивира възможностите за връзка от разстояние с компютъра и започва да компрометира файловете.

От Kaspersky казват, че мерките за защита от CryWiper са стандартни. Те включват ограничаване на връзките от публични мрежи, разрешаване на отдалечен достъп само през VPN и при определени условия, изискване на сигурни пароли и двуфакторна автентикация.

Препоръчва се редовната актуализация на всички използвани приложения, операционна система, инструменти за сигурност и т.н. Служителите също трябва да бъдат запознати по-добре с рисковете и основните методи за сигурност.

Компанията отбелязва, че в много случаи проблемите с този криптовирусите се дължат на недостатъчно добро ниво на сигурност на компаниите. Те пренебрегват базови правила, които могат да решат много проблеми. От Kasperksy очакват използването на този тип вируси да продължи да расте заради несигурната ситуация в света.