CryWiper: برنامج الفدية المزيف

اكتشف خبراؤنا هجومًا لفيروس جديد وأطلقوا عليه اسم CryWiper. للوهلة الأولى، يبدو هذا البرنامج الضار وكأنه برنامج الفدية: حيث يدخل التعديل على الملفات، ويضيف امتدادًا إضافيًا إليها، ويحفظ ملف README.txt تاركًا ملاحظة فدية تحتوي على عنوان محفظة البيتكوين وعنوان البريد الإلكتروني للاتصال بمصمِّم البرنامج الخبيث ورقم مُعرَّف العدوى. ومع ذلك، ففي حقيقة الأمر، يُعد هذا البرنامج الضار برنامج مسح: ملف أدخل برنامج CryWiper التعديل عليه وتتعذر استعادته إلى حالته الأصلية — أبدًا. فإذا رأيت ملاحظة فدية وأن ملفاتك تحتوي على امتداد ‎.CRY جديد، فلا تتعجل بدفع الفدية: إنه إجراء عديم الجدوى.

في الماضي، رأينا بعض سلالات البرامج الضارة التي أصبحت برامج مسح عن طريق الصدفة — بسبب أخطاء وقع فيها مصمِّموها الذين نفذوا خوارزميات التشفير على نحو سيئ. ومع ذلك، فإن الأمر ليس كذلك هذه المرة: إن خبراءنا واثقون من أن الهدف الرئيسي للمهاجمين ليس تحقيق مكاسب مالية، بل تدمير البيانات. فالملفات ليست مُشفَّرة بالفعل؛ بل يكتب الفيروس عليها بيانات تم إنشاؤها على شكل عشوائي مزيف.

ما يتتبعه برنامج CryWiper

يفسد الفيروس أي بيانات ليست حيوية لعمل نظام التشغيل. فلا يؤثر في الملفات بامتدادات ‎.exe أو ‎.dll أو ‎.lnk أو ‎.sys أو ‎.msi، ويتجاهل العديد من مجلدات النظام الموجودة في دليل C:\Windows. يركز البرنامج الضار على قواعد البيانات والأرشيفات ومستندات المستخدم.

وحتى الآن، لم يشهد خبراؤنا سوى هجمات محددة على أهداف في الاتحاد الروسي. ومع ذلك، وكالعادة، لا يمكن لأحد أن يضمن عدم استخدام الرمز نفسه ضد أهداف أخرى.

كيف يعمل فيروس CryWiper

بالإضافة إلى الكتابة فوق محتويات الملفات مباشرة بالبيانات المهملة، يعمل برنامج CryWiper أيضًا على ما يلي:

• إنشاء مهمة تعيد تشغيل برنامج المسح كل خمس دقائق باستخدام جدول المهام؛
• إرسال اسم الحاسوب المصاب إلى خادم C&C وينتظر أمرًا لبدء هجوم؛
• إيقاف العمليات المتعلقة بما يلي: خوادم قاعدة بيانات MySQL وMS SQL وخوادم بريد MS Exchange وخدمات الويب لـ MS Active Directory (وإلا فسيتم حظر الوصول إلى بعض الملفات وسيكون من المستحيل إتلافها)؛
• حذف النسخ الاحتياطية المطابقة من الملفات بحيث تتعذر استعادتها (ولكن لسبب ما فقط على محرك الأقراص C :‎)؛
• تعطيل الاتصال بالنظام المصاب عبر بروتوكول الوصول عن بُعد RDP.

والغرض من هذا الإجراء الأخير ليس واضحا تماما. ربما بهذا التعطيل، حاول مصممو البرامج الضارة تعقيد عمل فريق الاستجابة للحوادث، الذي يفضل بوضوح الوصول عن بُعد إلى الجهاز المصاب — سيتعين عليهم الوصول المادي إليه بدلاً من ذلك. يمكنك العثور على التفاصيل الفنية للهجمة مع مؤشرات الاختراق في منشور على Securelist (باللغة الروسية فقط).

كيف تحافظ على سلامتك؟

لحماية حواسيب شركتك من كل من برامج الفدية وبرامج المسح، يوصي خبراؤنا بالإجراءات التالية:

• التحكم بعناية في اتصالات الوصول عن بُعد إلى البنية التحتية لديك: حظر عمليات الاتصال من الشبكات العامة، والسماح بالوصول إلى RDP فقط من خلال نفق شبكة VPN، واستخدام كلمات مرور قوية فريدة والمصادقة الثنائية؛
• تحديث البرامج المهمة في الوقت المناسب، مع الاهتمام الخاص بنظام التشغيل وحلول الأمان وعملاء شبكة VPN وأدوات الوصول عن بُعد؛
• زيادة الوعي الأمني لدى موظفيك، على سبيل المثال، باستخدام أدوات متخصصة عبر الإنترنت ؛
• توظيف حلول الأمان المتقدمة لحماية كل من أجهزة العمل وشبكة المراقبة الفرعية بالشركة.