Российские суды и мэрии атаковал вирус-шифровальщик CryWiper — «Известия»

Hadon Hristov -

Компьютеры российских госорганов атаковал вирус-шифровальщик CryWiper — передают «Известия» со ссылкой на специалистов в кибербезопасности. Он уже атаковал суды и администрации городов.

Программа шифрует данные на жёстком диске и требует «выкуп» в 0,5 биткоина за их восстановление. Заявляется, что даже после оплаты доступ к файлам восстановить не получится: программа их удаляет.

«После заражения устройства CryWiper портил файлы и отображал сообщение с требованиями выкупа. В записке злоумышленники оставляли адрес электронной почты и биткоин-адрес кошелька, указав сумму за расшифровку более 500 тысяч рублей (0,5 BTС)», — рассказал эксперт по кибербезопасности.

Вирус действует по уже существующей схеме: «уничтожает содержимое файлов всех форматов, за исключением тех, которые отвечают за работу самой системы» и атакует «базы данных, архивы, отдельные пользовательские документы», чтобы после получения сигнала извне зашифровать их. У новых файлов появляется расширение «.cry».

Руководитель департамента информационно-аналитических исследований компании T.Hunter Игорь Бедеров считает, что атаки могут быть связаны «с геополитической обстановкой». Как передаёт его слова издание, «зарубежные хакеры получили негласную установку работать против РФ, и количество инцидентов будет только расти».

Специалист из центра безопасности компании Positive Technologies Алексей Вишняков отметил, что такие атаки уже проходили в этом году ещё до войны. По его словам, вирус WhisperGate «стирал не только файлы по списку расширений, но и главную загрузочную запись диска», нужного для загрузки ОС компьютера. Эксперты также напомнили, что похожая ситуация происходила с вредоносным NotPetya в 2017 году,

Отмечается, что восстановить файлы после подобной атаки возможно,  но это требует больших усилий. По словам одного из экспертов, «после перезаписи диска это сделать гораздо сложнее, нежели при использовании дешифрования». Чтобы бороться с действием вируса сотрудникам издания посоветовали использовать VPN при удалённом подключении и «песочницы», которые позволяют запускать сомнительное ПО без риска вреда для основной системы.

В марте сообщалось о случаях встраивания вредоносных функций для россиян и белорусов в открытом ПО. Среди прочего отмечались «программы, удаляющие все данные на компьютере».