Что за шифровальщик?
Название вируса — CryWiper. Специалисты утверждают, что обнаружили зловред в нескольких субъектах страны, но он может быть распространен шире.
— После заражения устройства CryWiper портил файлы и отображал сообщение с требованиями выкупа. В записке злоумышленники оставляли адрес электронной почты и биткоин-адрес кошелька, указав сумму за расшифровку более 500 тыс. рублей (0,5 BTС), рассказал эксперт по кибербезопасности «Лаборатории Касперского» Федор Синицын. Но если заплатить хакерам, программа не восстанавливает файлы — они удаляются без возможности восстановления. Как показал анализ кода, это не ошибка разработчика, а его изначальный замысел, добавил эксперт.
Возможные причины распространения
Распространение подобного рода атак именно на российские органы власти может быть связано, в том числе с геополитической обстановкой, считает руководитель департамента информационно-аналитических исследований компании T. Hunter Игорь Бедеров. По его мнению, зарубежные хакеры получили негласную установку работать против РФ, и количество инцидентов будет только расти.
Про CryWiper
CryWiper уничтожает содержимое файлов всех форматов, за исключением тех, которые отвечают за работу самой системы, пояснили специалисты «Лаборатории Касперского». Его основная цель — базы данных, архивы, отдельные пользовательские документы. Программа не уничтожает файлы автономно: она отправляет запрос на командный сервер и, только получив разрешение, начинает работу. Документы с испорченным содержимым получают дополнительное расширение CRY, которое означает, что они зашифрованы и их нельзя открыть стандартными способами, рассказали эксперты.