亚洲日本免费-啊轻点灬太粗太长了三男一女-麻豆av电影在线观看-日韩一级片毛片|www.grbbt.com

據(jù)俄羅斯《消息報》12月2日報道，俄羅斯某市長的辦公室和法院遭到了一種新的加密病毒攻擊。該程序在計(jì)算機(jī)上對數(shù)據(jù)進(jìn)行編碼，然后屏幕上出現(xiàn)一條消息，要求支付贖金——數(shù)額超過50萬盧布。但是，即使受害者將這筆金額轉(zhuǎn)移給黑客，病毒也會將文件完全刪除。

據(jù)卡巴斯基實(shí)驗(yàn)室網(wǎng)絡(luò)安全專家稱，該程序不會自動銷毀文件：它會向命令和控制服務(wù)器發(fā)送請求，只有在獲得許可后才會開始工作。專家說，內(nèi)容損壞的文件會收到一個額外的CRY擴(kuò)展名，這意味著它們是加密的，無法使用標(biāo)準(zhǔn)方法打開。感染設(shè)備后，這個名為CryWiper的惡意軟件會損壞文件并顯示勒索信息。攻擊者留下了一個電子郵件地址和一個比特幣錢包地址。這個名為 CryWiper 的程序目前攻擊的目標(biāo)是俄羅斯目標(biāo)，據(jù)分析該程序的網(wǎng)絡(luò)安全公司卡巴斯基稱，CryWiper很容易被用來攻擊其他國家的公司和組織。偽裝的擦除器程序延續(xù)了勒索軟件被有意或無意用作擦除器的趨勢。

研究人員寫道：“過去，我們看到一些惡意軟件變種意外地變成了擦除器——這是由于它們的創(chuàng)建者錯誤地實(shí)施了加密算法。” “然而，這一次攻擊俄羅斯政府機(jī)構(gòu)的情況并非如此：專家們相信攻擊者的主要目標(biāo)不是經(jīng)濟(jì)利益，而是破壞數(shù)據(jù)。文件并沒有真正加密；相反，惡意軟件會用偽隨機(jī)生成的數(shù)據(jù)覆蓋它們。“

刪除關(guān)鍵數(shù)據(jù)的惡意軟件（稱為擦除器）已成為對私營和公共部門的重大威脅。俄羅斯機(jī)構(gòu)在與烏克蘭的沖突中使用了擦除器，試圖破壞該國的關(guān)鍵服務(wù)及其防御協(xié)調(diào)。十年前，伊朗使用 Shamoon 擦除器程序?qū)Ω偁帉κ稚程匕⒗畤惺图瘓F(tuán)沙特阿美公司的30,000 多個硬盤進(jìn)行加密并使之失效。

卡巴斯基研究人員在他們的分析中表示，最近的一次攻擊針對的是一家俄羅斯組織，這表明這可能是烏克蘭軍隊(duì)或黨派黑客的報復(fù)。

網(wǎng)絡(luò)安全公司Trellix的惡意軟件研究員Max Kersten表示：“考慮到所使用的覆蓋面——偽裝成勒索軟件——以及編寫一個簡單的擦除器所需的時間及其復(fù)雜性，似乎任何人都可能是這次攻擊的幕后黑手。” “卡巴斯基表明受害者是俄羅斯機(jī)構(gòu)，這意味著在我看來，反俄羅斯活動家、親烏克蘭活動家、烏克蘭作為一個國家或支持烏克蘭的國家都可能是幕后黑手。”

假勒索軟件還是懶惰的罪犯？

CryWiper是最新的攻擊程序，看似勒索軟件，但實(shí)際上充當(dāng)擦除器。根據(jù)卡巴斯基俄語分析結(jié)論的翻譯，雖然過去的例子經(jīng)常因?yàn)殚_發(fā)人員的錯誤而刪除數(shù)據(jù)，但 CryWiper的創(chuàng)建者設(shè)計(jì)了它的功能。

卡巴斯基表示：“在檢查惡意軟件樣本后，我們發(fā)現(xiàn)該木馬雖然偽裝成勒索軟件并向受害者勒索金錢以‘解密’數(shù)據(jù)，但實(shí)際上并未加密，而是故意破壞受影響系統(tǒng)中的數(shù)據(jù)。” . “而且，對惡意程序代碼的分析表明，這不是開發(fā)者的錯誤，而是他的初衷。”

CryWiper并不是第一個在不允許解密的情況下覆蓋數(shù)據(jù)的惡意軟件程序。最近發(fā)現(xiàn)的另一個程序W32/Filecoder.KY!tr也會覆蓋文件，但在這種情況下，由于編程不當(dāng)，無法恢復(fù)數(shù)據(jù)。

“勒索軟件并不是故意變成一個擦除器。相反，缺乏質(zhì)量保證導(dǎo)致樣本無法正常工作，”Fortinet究員GergelyRevay在分析中表示。“這個缺陷的問題在于，由于勒索軟件的設(shè)計(jì)簡單，如果程序崩潰——甚至關(guān)閉——就沒有辦法恢復(fù)加密文件。”

與以前的勒索軟件有相似之處？

CryWiper似乎是一種原始惡意軟件，但這種破壞性惡意軟件使用與IsaacWiper相同的偽隨機(jī)數(shù)生成器 (PRNG) 算法，IsaacWiper是一種用于攻擊烏克蘭公共部門組織的程序，而CryWipe似乎已經(jīng)攻擊了俄羅斯聯(lián)邦的一個組織。

Xorist勒索軟件家族和Trojan-Ransom.MSIL.Agent家族的幾個變體在CryWiper 數(shù)據(jù)損壞后留下的便條中使用了相同的電子郵件地址，但 Trellix 的Kersten認(rèn)為這可能是故意造成混淆。

“在不同的樣本中重復(fù)使用贖金票據(jù)中的電子郵件地址，可能是為了甩掉那些希望將這些點(diǎn)聯(lián)系起來的分析師，或者這可能是一個真正的錯誤，”他說。“我認(rèn)為后者的可能性較小，因?yàn)閻阂廛浖拇a包含一些錯誤，表明它尚未經(jīng)過徹底測試，這讓我認(rèn)為創(chuàng)建者處于時間壓力之下。”

過去，防范勒索軟件攻擊為目標(biāo)的公司一直在為是否向勒索軟件組織付費(fèi)以使用備份和離線副本從加密勒索軟件事件中恢復(fù)而苦惱。

“CryWiper將自己定位為一個勒索軟件程序，即聲稱受害者的文件是加密的，如果支付贖金，就可以恢復(fù)。但這是一個騙局：實(shí)際上，數(shù)據(jù)已經(jīng)被破壞，無法恢復(fù)。”返回，”卡巴斯基說。“CryWiper的活動再次表明，支付贖金并不能保證文件的恢復(fù)。”

擦除器攻擊正在擴(kuò)大

今年上半年，研究人員發(fā)現(xiàn)與俄烏戰(zhàn)爭同時部署的擦除器惡意軟件呈上升趨勢。然而，這些擦除器并沒有停留在一個地方——它們正在全球范圍內(nèi)出現(xiàn)，這突顯了網(wǎng)絡(luò)犯罪不分國界的事實(shí)。 增長的不僅僅是數(shù)字，研究人員還看到了多樣性和復(fù)雜性的增加。這些擦拭器品種也越來越多地瞄準(zhǔn)關(guān)鍵基礎(chǔ)設(shè)施。

烏克蘭戰(zhàn)爭無疑推動了擦除器惡意軟件的使用大幅增加；FortiGuard實(shí)驗(yàn)室的研究在 2022年上半年發(fā)現(xiàn)了至少七種新的擦除器變體，這些變體用于針對政府、軍隊(duì)和私人組織的活動。這幾乎是自 2012年以來公開檢測到的擦除器變種總數(shù)的總和，當(dāng)時不良行為者使用Shamoon雨刮器攻擊一家沙特阿拉伯石油公司。

目前觀測到的擦除器惡意軟件變體包括：

??CaddyWiper：俄烏戰(zhàn)爭開始后不久，不法分子使用此變體從屬于選定數(shù)量的烏克蘭組織的系統(tǒng)上的驅(qū)動器中擦除數(shù)據(jù)和分區(qū)信息。

??WhisperGate：?Microsoft于今年1月中旬發(fā)現(xiàn)，用于針對烏克蘭的組織。

??HermeticWiper：?2月份由SentinelLabs發(fā)現(xiàn)，這個用于觸發(fā)啟動失敗的工具也被發(fā)現(xiàn)針對烏克蘭組織

??IsaacWiper：一種惡意軟件工具，用于覆蓋磁盤驅(qū)動器和附加存儲中的數(shù)據(jù)以使其無法操作。

此外，研究人員還觀察到其他三個針對烏克蘭公司和組織的變體：WhisperKill、Double Zero和AcidRain。

在對烏克蘭和其他國家的攻擊中看到的是，擦除器惡意軟件可以而且正在被用來降低和破壞關(guān)鍵基礎(chǔ)設(shè)施。這是作為更大規(guī)模的網(wǎng)絡(luò)戰(zhàn)行動的一部分進(jìn)行的。研究人員看到的另一種常見策略是擦除器惡意軟件樣本有時會“偽裝”成勒索軟件——利用許多與勒索軟件相同的策略、技術(shù)和程序，但事實(shí)上無法恢復(fù)被加密文件。

必須引起注意的是，擦除器軟件被用于經(jīng)濟(jì)利益和網(wǎng)絡(luò)破壞——它可能會產(chǎn)生非常毀滅性的后果。因?yàn)榇祟悙阂廛浖魴z測率低于其他類型的網(wǎng)絡(luò)攻擊，防御者面臨更多的困難和挑戰(zhàn)來發(fā)現(xiàn)它，所以不要陷入“事不關(guān)己、高高掛起”的陷阱。

參考資源

1、https://www.securityweek.com/wipers-are-widening-heres-why-matters

2、https://www.darkreading.com/threat-intelligence/wiper-disguised-fake-ransomware-targets-russian-orgs

3、https://iz.ru/1433190/ivan-chernousov/stiratelnyi-pocherk-gosstruktury-atakoval-novyi-virus-shifrovalshchik

來源：網(wǎng)空閑話