Malware CryWiper se disfarça de ransomware para destruir dados propositalmente

CryWiper é escrito principalmente em C++ e é um executável do Windows baseado na arquitetura de 64 bits

Jardeson Márcio
3 minutos de leitura

O malware CryWiper, um limpador de dados, se disfarça de ransomware para destruir dados propositalmente, sem criptografá-los. O malware foi descoberto recentemente e está se espalhando pela Internet.

Durante um ataque contra os gabinetes e tribunais do prefeito russo, conforme relatado pela mídia russa, esse cenário foi detectado. Além disso, a Kaspersky foi a primeira empresa a descobrir o CryWiper e mais tarde relatou que o malware foi usado para atacar uma organização russa em um ataque realizado pelos operadores do malware.

Análise técnica do malware CryWiper

Após uma inspeção e análise minuciosas do código-fonte do CryWiper, descobriu-se que sua capacidade de limpar os dados dos alvos é totalmente intencional, portanto não é um erro.

CryWiper é escrito principalmente em C++ e é um executável do Windows baseado na arquitetura de 64 bits. Como resultado de sua configuração, o CryWiper abusa de inúmeras funções do WinAPI e permanece oculto sob o seguinte nome: browserupdate.exe. Assim que o malware é executado no sistema já comprometido, ele cria automaticamente uma lista de tarefas agendadas para execução a cada cinco minutos.

Esse Trojan então usa uma solicitação HTTP GET para entrar em contato com seu servidor de comando e controle (C2), passando o nome do sistema infectado como parâmetro para o servidor, a fim de obter acesso ao sistema comprometido.

malware-crywiper-se-disfarca-de-ransomware-para-destruir-dados-propositalmente

O CryWiper iniciará imediatamente sua atividade maliciosa se a opção “executar” for retornada. Em um esforço para enganar as vítimas, em alguns casos, os atrasos de execução completos são estendidos até 4 dias, o que equivale a cerca de 345.600 segundos.

Além disso, para destruir os dados, o CryWiper precisa liberar os dados bloqueados e, para isso, interrompe todos os processos marcados como críticos e esses processos estão relacionados a: MySQL; Servidores de banco de dados MS SQL; Servidores de e-mail MS Exchange; Serviços da Web do MS Active Directory.

Como resultado do CryWiper, o Registro do Windows também é modificado para que as conexões RDP sejam impedidas, tornando assim os especialistas de TI remotos incapazes de intervir e responder quando ocorre um incidente.

Extensões e diretórios de arquivos ignorados

Abaixo mencionamos todos os tipos de arquivos que não são destruídos pelo CryWiper: .exe; .dll; .lnk; .sys; .msi; .CHORO. Um gerador de números pseudoaleatórios conhecido como “Mersenne Twister” é usado como algoritmo para corromper os arquivos. 

Assim que isso for feito, uma nota de resgate, intitulada ‘README.txt’, será gerada pelo CryWiper. Nesta nota, ele pede 0,5 Bitcoin, que é cerca de $ 8.000 (cerca de R$ 41,6 mil) em troca de um descriptografador para ser liberado.

malware-crywiper-se-disfarca-de-ransomware-para-destruir-dados-propositalmente

O malware CryWiper não é um arquivo ransomware da maneira tradicional, mas é um programa de malware capaz de destruir uma grande quantidade de dados em um curto período de tempo.

Share This Article
Follow:
Jardeson é Mestre em Tecnologia Agroalimentar e Licenciado em Ciências Agrária pela Universidade Federal da Paraíba. Entusiasta no mundo tecnológico, gosta de arquitetura e design gráfico. Economia, tecnologia e atualidade são focos de suas leituras diárias. Acredita que seu dia pode ser salvo por um vídeo engraçado.