Мэрии и суды в регионах России атаковал новый вирус — CryWiper, рассказали «Известиям» в «Лаборатории Касперского». Эксперты говорят, что обнаружили зловред в нескольких субъектах страны, но он может быть распространен шире.
— После заражения устройства CryWiper портил файлы и отображал сообщение с требованиями выкупа. В записке злоумышленники оставляли адрес электронной почты и биткоин-адрес кошелька, указав сумму за расшифровку более 500 тыс. рублей (0,5 BTС), — рассказал «Известиям» эксперт по кибербезопасности «Лаборатории Касперского» Федор Синицын.
Но если заплатить хакерам, программа не восстанавливает файлы — они удаляются без возможности восстановления. Как показал анализ кода, это не ошибка разработчика, а его изначальный замысел, добавил эксперт.
Распространение подобного рода атак именно на российские органы власти может быть связано в том числе с геополитической обстановкой, считает руководитель департамента информационно-аналитических исследований компании T.Hunter Игорь Бедеров. По его мнению, зарубежные хакеры получили негласную установку работать против РФ, и количество инцидентов будет только расти.
CryWiper уничтожает содержимое файлов всех форматов, за исключением тех, которые отвечают за работу самой системы, пояснили специалисты «Лаборатории Касперского». Его основная цель — базы данных, архивы, отдельные пользовательские документы. Программа не уничтожает файлы автономно: она отправляет запрос на командный сервер и, только получив разрешение, начинает работу. Документы с испорченным содержимым получают дополнительное расширение CRY, которое означает, что они зашифрованы и их нельзя открыть стандартными способами, рассказали эксперты.
— Вирус CryWiper — преемник NotPetya, который использовали в атаках в 2017 году. Они действуют по одной схеме: шифруют файлы, требуют выкуп, а после его получения не восстанавливают данные, — рассказал руководитель лаборатории компьютерной криминалистики компании Group-IB Олег Скулкин.
В этом году против российских компаний хакеры активно применяли программы-вымогатели, созданные на основе попавших в публичное пространство исходных кодов вирусов-шифровальщиков Conti и LockBit, а также софта для защиты персональных данных BitLocker и DiskCryptor, добавил эксперт.
О появлении CryWiper знают и в Positive Technologies.
— В январе этого года по аналогичной схеме атаковал вирус WhisperGate. Он стирал не только файлы по списку расширений, но и главную загрузочную запись диска (MBR — специальный код, который нужен для загрузки операционной системы. — «Известия»), — рассказал руководитель отдела обнаружения вредоносного ПО экспертного центра безопасности компании Positive Technologies Алексей Вишняков.
Вирусы такого рода специалисты называют «вайперами», что можно перевести как «стиратель» — программы именно стирают данные при заражении устройства.
Восстановить данные после атаки такого вируса можно, но это очень трудоемкая задача, сказали опрошенные «Известиями» специалисты по кибербезопасности.
— После перезаписи диска это сделать гораздо сложнее, нежели при использовании дешифрования. Перезаписаны могут быть как отдельные файлы пользователей, так и служебные, — рассказал ведущий инженер по информационной безопасности в компании R-Vision Антон Кузнецов.
Если содержимое файлов не искажено, то их можно восстановить штатными средствами операционной системы, без специальных программ. А когда документы изменены, остается рассчитывать только на резервные копии.
Чтобы защититься от такого рода кибератак, специалисты рекомендовали запретить подключение к удаленному рабочему столу из общественных сетей. Кроме того, важно обновлять VPN-решения и ПО. Разработчики периодически находят в своих программах уязвимости и устраняют их в новых версиях. Также эксперты посоветовали использовать резервное копирование данных.
Для защиты от вайперов можно использовать так называемые «песочницы». Это класс программ, которые позволяют запустить неизвестный софт в специальной безопасной среде, не навредив основной операционной системе компьютера, пояснил Алексей Вишняков.
Иван Черноусов