一种前所未见的恶意软件正在大肆清除俄罗斯重要数据

一种前所未见的恶意软件正在大肆清除俄罗斯重要数据

　　美萍会员软件,刷爱奇艺会员软件手机,qq刷会员软件手机版用于对俄罗斯市长办公室和法院进行破坏性攻击。这种恶意软件会伪装成勒索软件，但实际上是一种可以永久销毁受感染系统上的数据。目前有多少机构受到了攻击、该恶意软件是否成功擦除了数据等具体细节还不得而知。

　　卡巴斯基的报告声称，他们在仔细分析了恶意软件样本后发现，尽管这种木马伪装成勒索软件，向受害者勒索钱财以“解密”数据，但实际上并不加密数据，而是有意破坏受影响系统中的数据。此外，分析该木马的程序代码后发现，这不是开发人员的错误，而是其初衷。

　　数据擦除恶意软件在过去十年中已变得越来越常见。2012年，一种名为Shamoon的数据擦除软件对沙特阿拉伯的沙特阿美和卡塔尔的拉斯拉凡液化天然气公司（RasGas）造成了严重破坏。四年后，Shamoon的一个新变种卷土重来，攻击了沙特阿拉伯的多家组织。2017年，一种名为NotPetya的自我复制恶意软件在短短数小时内肆虐全球，造成的损失估计高达100亿美元。

　　专家认为，该恶意软件是专门针对 Windows 系统设计的，因为它使用了对 WinAPI 函数的多次调用。在执行后，CryWiper 使用任务计划程序和 schtasks create 命令创建一个任务，每 5 分钟运行一次其文件。擦除器使用 HTTP GET 请求联系命令和控制服务器，并将受感染系统的名称作为参数传递。C2 依次响应“运行”或“不运行”命令，以确定恶意软件是否必须启动。

　　擦除器还会删除受感染机器上的卷影副本，以防止受害者恢复已擦除的文件。为了破坏用户文件，擦除器使用伪随机数生成器“Mersenne Vortex”生成一系列数据覆盖原始文件内容。该恶意软件还将.CRY 扩展名附加到它已损坏的文件中，并投放赎金票据（README.txt），要求 0.5 比特币用于解密。

　　报告总结到，CryWiper 会将自己定位为勒索软件程序，即声称受害者的文件已加密，如果支付赎金，则可以恢复。然而，这是一个骗局：事实上，数据已被销毁，无法归还。