按 Enter 到主內容區
:::

TWCERT-電子報

:::

全新 CryWiper 資料刪除惡意軟體,針對俄羅斯法院、市長辦公室等公務機關發動攻擊

發布日期:
字型大小:
  • 發布單位:TWCERT/CC
  • 更新日期:2022-12-07
  • 點閱次數:134
全新 CryWiper 資料刪除惡意軟體,針對俄羅斯法院、市長辦公室等公務機關發動攻擊 TWCERT/CC

資安廠商 Kaspersky 旗下的研究人員,近來發現一個過去未曾記錄的全新資料刪除惡意軟體 CryWiper,正在針對俄羅斯境內各地區的市長辦公室和法院發動攻擊。

Kaspersky 指出,該公司是在今(2022)年秋天發現 CryWiper 布署的未知木馬惡意軟體,針對俄羅斯境內的公家單位發動攻擊;而據俄羅斯當地媒體指出,受到惡意軟體攻擊的公務單位,以司法單位與各地市長辦公室為主。

Kaspersky 分析指出,CryWiper 會假扮為勒贖軟體,實際上其惡意程式碼會刪除受害主機中的資料。其程式碼是 64 位元 Windows 可執行檔,名為「browserupdate.exe,執行後會在受害主機中設立排程,每 5 分鐘就自我執行一次,並在每次執行時與控制伺服器連線,收取執行或不執行的命令。

一旦收到執行的命令,CryWiper 會停止 MySQL、MS SQL 資料庫伺服器、MS Exchange email 伺服器、MS Active Directory 網頁伺服器等重要系統的執行,解除資料鎖定狀態,然後開始刪除受害主機上的資料。

CryWiper 不僅會刪除受害主機上的主要資料,也會刪除 shadow copy,以防止資料被輕鬆復原;另外 CryWiper 也會竄改 Windows 登錄檔,以防止 RDP 連線,阻止 IT 人員透過遠端遙控方式恢復資料。

最後,CryWiper 會將所有副檔名為 .exe、.dll、.lnk、.sys、.msi 與自身的 .cry 都加以破壞,但是不破壞系統、Windows 與啟動資料夾,讓電腦仍能啟動,看起來未被完全破壞。

建議各公私單位應強化人員資安培訓,勿點按不明連接並開啟不明檔案;重要系統也應做好異地備援措施,以在遭到攻擊時能迅速復原系統與資料。

回頁首