Wiper tarnt sich als Ransomware
CryWiper zerstört Dateien unwiederbringlich
Foto: popovartem.com - shutterstock.com
Bürgermeisterämter und Gerichte in Russland werden von einer bis dato unbekannten Malware angegriffen. Das berichten der russische Softwarehersteller Kaspersky und der Nachrichtendienst Izvestia. "CryWiper" gebe sich als Ransomware aus, sei im Grunde genommen jedoch ein sogenannter Wiper, der die Daten auf den infizierten Systemen unwiederbringlich zerstört.
Die Malware verändert Dateien auf den Zielsystemen und fügt diesen die Erweiterung .cry an - daher der Name CryWiper. Darüber hinaus wird eine README.txt-Datei mit einer Lösegeldforderung angelegt, die die Bitcoin-Wallet-Adresse, die Kontakt-E-Mail-Adresse der Malware-Ersteller und die Infektions-ID enthält, berichten die Security-Forscher von Kaspersky. Tatsächlich handele es sich bei dieser Malware jedoch um einen Wiper. "Eine von CryWiper veränderte Datei kann nicht in ihren ursprünglichen Zustand zurückversetzt werden - niemals. Wenn Sie also eine Lösegeldforderung sehen und Ihre Dateien eine neue .cry-Erweiterung haben, brauchen Sie sich nicht zu beeilen, das Lösegeld zu zahlen: Es ist sinnlos."
Hacker wollen Daten zerstören
Den russischen Security-Experten zufolge gab es in der Vergangenheit schon einige Malware-Stämme, die versehentlich zu Wipern wurden - weil die Hacker die Verschlüsselungsalgorithmen schlecht implementiert hätten. Bei CryWiper liege der Fall jedoch anders: Kaspersky ist sich sicher, dass das Hauptziel der Angreifer nicht die finanzielle Beute, sondern die Zerstörung von Daten ist. Diese würden nicht verschlüsselt, sondern der Trojaner überschreibe sie mit pseudo-zufällig generierten Daten.
CryWiper korrumpiert alle Daten, die nicht für das Funktionieren des Betriebssystems wichtig sind. Die Malware ignoriert Dateien mit den Erweiterungen .exe, .dll, .lnk, .sys oder .msi und Systemordner im Verzeichnis C:\Windows. Vielmehr konzentriert sie sich auf Datenbanken, Archive und Benutzerdokumente. Allerdings modifiziert der Trojaner die Windows Registry, um Remote-Desktop-Protocol- (RDP-)Verbindungen für Untersuchungen und Analysen per Fernzugriff unmöglich zu machen. Kaspersky will bislang nur punktuelle Angriffe auf Ziele in der Russischen Föderation beobachtet haben. Izvestia berichtet dagegen von gezielten Angriffen auf Bürgermeisterämter und Gerichte.
Wiper- und Ransomware-Vorfälle würden in erster Linie durch eine unzureichende Netzwerksicherheit begünstigt, hieß es von Seiten Kasperskys. Daher sollten entsprechende Schutzmaßnahmen vor allem an dieser Stelle ansetzen. "Wir gehen davon aus, dass die Zahl der Cyberangriffe, einschließlich derer, die Wiper verwenden, zunehmen wird, vor allem aufgrund der instabilen Lage in der Welt."