Los investigadores de Kaspersky han alertado en el blog de la compañía de un nuevo troyano al que han denominado con el nombre de 'CryWriper', detallando su modus operandi y aclarando su verdadera naturaleza.
La empresa de origen ruso explica que a primera vista el malware parece un ransomware, ya que actúa un poco como él. La amenaza modifica archivos, les añade una extensión .CRY (que sería exclusiva del propio CryWiper) y hasta guarda un archivo de tipo REAME.txt en el que incluye una nota de rescate que contendría una dirección de billetera bitcoin para hacer el pago.
Sin embargo, la compañía de seguridad advierte que el malware es un wiper o limpiador. Cuando modifica un archivo, no hay vuelta atrás. Este no se puede restaurar a su estado original. Por lo tanto, pasar por caja no tiene ningún sentido.
Kaspersky subraya que en este caso los ciberdelincuentes detras del troyano no buscan la ganancia económica, sino simplemente hacer daño destruyendo datos. Los archivos no están realmente encriptados. CryWiper los ha sobreescrito con datos de manera pseudoaletoria.
Así opera CryWiper
Cuando infecta un equipo o dispositivo el troyano corrompería cualquier dato que no sea vital para el funcionamiento del sistema operativo. No afectaría a los archivos con extensiones .exe, .dll, .lnk, .sys o .msi e ignoraría varias carpetas del sistema en el directorio C::\Windows. Lo que hace el malware es corromper las bases de datos, archivos y documentos del usuario.
CryWiper hace otras cosas, como reiniciarse cada 5 minutos usando el programador de tareas, detener los procesos relacionados con servidores de bases de datos MySQL, servidores de correo MS Exchange, eliminar shadow copies de archivos para que no se puedan restaurar y deshabilitar la conexión al sistema afectado mediante el protocolo de acceso remoto RDP.
Por el momento, el malware se ha encontrado en amenazas que apuntaban a Rusia, pero desde la firma de ciberseguridad no descartan que se pueda usar contra otros objetivos.