{
	"id": "f254f223-3d51-4d56-87f6-46fb099c25de",
	"created_at": "2026-04-06T00:09:52.530235Z",
	"updated_at": "2026-04-10T13:11:39.431561Z",
	"deleted_at": null,
	"sha1_hash": "39a38fb8345c69d3023af768e3ac748647fa85e5",
	"title": "Новый троянец CryWiper прикидывается шифровальщиком",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 1774823,
	"plain_text": "Новый троянец CryWiper прикидывается шифровальщиком\r\nBy Fedor Sinitsyn\r\nPublished: 2022-12-01 · Archived: 2026-04-05 21:17:56 UTC\r\nБольшинство кибератак имеют финансовую мотивацию, однако в последнее время возросло число атак,\r\nцель которых — не обогащение, а нанесение ущерба жертве. Одним из инструментов таких атак являются\r\nвайперы (от англ. wiper) — программы, которые уничтожают данные без возможности восстановления. К\r\nнаиболее известным вайперам, появившимся в 2022 году, относятся DoubleZero, IsaacWiper,\r\nHermeticWiper, CaddyWiper, WhisperGate, AcidRain, Industroyer2 и RuRansom.\r\nОсенью 2022 года наши решения зафиксировали попытки ранее неизвестного троянца, которого мы\r\nназвали CryWiper, атаковать сеть организации в Российской Федерации. Изучив образец вредоносного ПО,\r\nмы выяснили, что этот троянец, хотя и маскируется под шифровальщика и вымогает у жертвы деньги за\r\n«расшифровку» данных, в действительности не шифрует, а целенаправленно уничтожает данные в\r\nпострадавшей системе. Более того, анализ программного кода троянца показал, что это не ошибка\r\nразработчика, а его изначальный замысел.\r\nТехнические детали CryWiper\r\nПопавший к нам образец CryWiper — это 64-битный исполняемый файл под ОС Windows. Зловред\r\nразработан на языке C++ и собран с помощью набора инструментов MinGW-w64 и компилятора GCC. Это\r\nне самый распространенный подход среди разработчиков вредоносного ПО на C/C++ под Windows — для\r\nтаких целей чаще используют среду разработки Microsoft Visual Studio. Сборка с помощью MinGW\r\nцелесообразна либо при разработке кросс-платформенного приложения под разные ОС (например, под\r\nWindows, Linux и/или FreeBSD), либо если сам разработчик в качестве основной ОС использует что-либо\r\nотличное от Windows. Отметим, что в случае CryWiper первый вариант маловероятен, так как троянец\r\nиспользует много вызовов WinAPI-функций.\r\nДата сборки образца, в соответствии с полем PE заголовка: 2022-09-06 11:08:54.\r\nОбразец троянца был обнаружен по следующему пути:\r\n1 c:\\windows\\system32\\browserupdate.exe\r\nАлгоритм работы CryWiper\r\nСоздание задачи в планировщике\r\nПосле запуска CryWiper с помощью планировщика заданий (Task Scheduler) и команды schtasks create\r\nсоздает задачу для запуска собственного файла каждые 5 минут.\r\nhttps://securelist.ru/novyj-troyanec-crywiper/106114/\r\nPage 1 of 8\n\nСоздание задачи в планировщике\r\nКоммуникация с C\u0026C\r\nЗатем троянец обращается к своему командному серверу с помощью запроса HTTP GET и в виде\r\nпараметра передает имя зараженного компьютера.\r\nЗапрос CryWiper и ответ от C\u0026C\r\nhttps://securelist.ru/novyj-troyanec-crywiper/106114/\r\nPage 2 of 8\n\nВ ответ сервер C\u0026C отправляет строку run либо do not run, которая управляет поведением троянца. Если\r\nвернулось run, то CryWiper сразу приступит к вредоносной активности.\r\nВо всех остальных случаях исполняется особая логика, которая, судя по результатам нашего анализа,\r\nзадумана как отсрочка выполнения на 4 суток (345 600 секунд). Однако реализована она неудачно: код\r\nнаписан так, что зловред ни при каких условиях не будет ждать указанное время и просто завершит\r\nисполнение, если не получил команду run. CryWiper сохраняет текущее время в реестре (параметр\r\nHKCU\\Software\\Sysinternals\\BrowserUpdate\\Timestamp) сразу перед проверкой ответа от сервера. Получив\r\nкоманду do not run или не получив указаний, он вычисляет, сколько секунд прошло с сохраненного\r\nмомента, и, если это значение меньше 345 600 секунд, завершает работу. При этом оно никогда не будет\r\nбольше 345 600 секунд — в действительности проверка занимает лишь доли секунды. А при следующем\r\nзапуске (см. выше — для этой цели троянец создавал задачу в планировщике) CryWiper снова перезапишет\r\nзначение Timestamp.\r\nКод, замеряющий время и проверяющий ответ от C\u0026C\r\nОстановка процессов, изменение настроек\r\nПолучив ответ run, CryWiper с помощью команды taskkill останавливает процессы, относящиеся к работе\r\nсерверов баз данных MySQL и MS SQL, почтового сервера MS Exchange и веб-служб MS Active Directory.\r\nТроянец делает это для того, чтобы иметь доступ к файлам, которые были бы заняты этими процессами в\r\nслучае их нормальной работы.\r\nhttps://securelist.ru/novyj-troyanec-crywiper/106114/\r\nPage 3 of 8\n\nОстановка процессов и удаление теневых копий\r\nКроме того, троянец удаляет теневые копии файлов при помощи команды vssadmin delete shadows /for=c:\r\n/all, что, однако, затрагивает только диск C:. Вероятно, это еще одна оплошность злоумышленника.\r\nТакже интересная деталь связана с изменением параметра реестра\r\nHKLM\\SYSTEM\\CurrentControlSet\\Control\\Terminal Server\\fDenyTSConnections, который отвечает за запрет\r\nподключения к системе по протоколу удаленного рабочего стола (RDP). При атаках с использованием\r\nпрограмм-вымогателей злоумышленники зачастую выставляют значение этого параметра на 0, чтобы\r\nразрешить к системе доступ по RDP, — например, с целью горизонтального распространения в\r\nскомпрометированной сети.\r\nЗдесь же мы наблюдаем противоположное поведение: CryWiper устанавливает значение 1, что запрещает\r\nдоступ по RDP.\r\nЗапрет доступа по RDP\r\nЦель этого действия не вполне ясна. Возможно, таким образом разработчик троянца пытается усложнить\r\nжизнь ИБ- и IT-специалистам, которые будут участвовать в реагировании на инцидент, — из-за этой\r\nнастройки они не смогут без дополнительных действий удаленно подключиться к зараженной системе.\r\nУничтожение данных\r\nДля уничтожения пользовательских файлов CryWiper генерирует последовательность данных при помощи\r\nизвестного генератора псевдослучайных чисел «Вихрь Мерсенна» и записывает эти данные вместо\r\nоригинального содержимого файла.\r\nПри поиске пользовательских файлов CryWiper пропускает те, которые имеют расширения или находятся в\r\nдиректориях, указанных в таблице.\r\nИгнорируемые расширения файлов Подстроки в пути к игнорируемым директориям\r\n.exe C:\\Windows\r\nhttps://securelist.ru/novyj-troyanec-crywiper/106114/\r\nPage 4 of 8\n\n.dll tmp\r\n.lnk winnt\r\n.sys temp\r\n.msi thumb\r\n.CRY System Volume Information\r\nBoot\r\nWindows\r\nTrend Micro\r\nФайлы с испорченным содержимым получают дополнительное расширение .CRY.\r\nЧасть процедуры, реализующей ГПСЧ «Вихрь Мерсенна». Выделены характерные константы\r\nПримечательно, что точной такой же алгоритм генерации псевдослучайных чисел использовал другой\r\nвайпер — IsaacWiper. Впрочем, никакой иной взаимосвязи между ними обнаружить не удалось. Кроме\r\nтого, они использовались в атаках на разные цели. Так, IsaacWiper был замечен в атаках на\r\nгосударственный сектор Украины, а CryWiper, по имеющимся у нас данным, атаковал организацию в\r\nРоссийской Федерации.\r\nhttps://securelist.ru/novyj-troyanec-crywiper/106114/\r\nPage 5 of 8\n\nЧасть процедуры, уничтожающей содержимое файлов\r\nCryWiper маскируется под шифровальщика и сохраняет в файле README.txt требования о выкупе. В\r\nтексте требований используются типичные для вымогательского ПО формулировки, а также приводится\r\nадрес Bitcoin-кошелька для оплаты выкупа, адрес почты для связи со злоумышленниками и ID заражения.\r\nСтрока ID у CryWiper фиксированная, она содержится в теле троянца и не меняется от запуска к запуску. В\r\nбольшинстве шифровальщиков ID уникален для каждой жертвы и нужен атакующим, чтобы определить,\r\nкакая жертва заплатила выкуп, а какая нет. Хотя из этого правила есть исключения: если для каждой атаки\r\nсобирается новый образец троянца, то иногда ID оставляется фиксированным или даже вообще не\r\nиспользуется.\r\nТак или иначе, CryWiper умышленно уничтожает содержимое файлов, а значит, и отличать одну жертву от\r\nдругой для атакующих нет смысла — все равно расшифровывать после заражения уже нечего.\r\nТекст требований CryWiper\r\nСвязь с другими семействами\r\nС точки зрения кода и функциональности CryWiper — новый зловред, не связанный с уже\r\nсуществующими семействами. Однако среди вайперов редко используется генерация случайных значений\r\nпри помощи «Вихря Мерсенна» — чаще встречаются более простые варианты. Выбор алгоритма в\r\nhttps://securelist.ru/novyj-troyanec-crywiper/106114/\r\nPage 6 of 8\n\nCryWiper совпадает с ранее упомянутым IsaaсWiper – единственным из популярных вайперов, который\r\nгенерирует псевдослучайные значения с помощью этого алгоритма.\r\nЕще одно довольно интересное пересечение с другим вредоносным ПО мы нашли при анализе адреса\r\nэлектронной почты в записке. Оказалось, что этот адрес уже использовался ранее, но не в вайперах: он\r\nсодержался в нескольких образцах шифровальщиков (например, MD5:\r\n4A42F739CE694DB7B3CDD3C233CE7FB1, 71D9E6EE26D46C4DBB3D8E6DF19DDA7D,\r\n0C6D33DA653230F56A7168E73F1448AC). Два из них относятся к программам-вымогателям хорошо\r\nизвестного семейства Trojan-Ransom.Win32.Xorist, третий является не получившим большой известности\r\nобразцом из семейства Trojan-Ransom.MSIL.Agent. Самый ранний образец, использующий этот адрес,\r\nдатирован серединой июня 2017 года.\r\nЗаключение\r\nCryWiper позиционирует себя как программа-вымогатель, то есть утверждает, что файлы жертвы\r\nзашифрованы и в случае оплаты выкупа их можно восстановить. Однако это обман: на самом деле данные\r\nуничтожены и вернуть их нельзя. Деятельность CryWiper в очередной раз показывает, что оплата выкупа\r\nне гарантирует восстановление файлов.\r\nВо многих случаях причиной инцидентов с вайперами и вымогательским ПО становится недостаточная\r\nзащищенность сети, и именно на усиление защиты следует обращать внимание. Мы предполагаем, что\r\nчисло кибератак, в том числе с использованием вайперов, будет расти — во многом из-за нестабильной\r\nситуации в мире. Поэтому снизить вероятность компрометации и потери данных при атаках вайперов и\r\nшифровальщиков поможет следующее.\r\nЗащитные решения с возможностью поведенческого анализа файлов, выявляющие и блокирующие\r\nвредоносное ПО, — например, KES.\r\nMDR— и SOC-сервисы, позволяющие своевременно обнаружить вторжение и принять меры по\r\nреагированию.\r\nДинамический анализ почтовых вложений и блокировка вредоносных файлов и URL-адресов. Это\r\nзатруднит атаки по электронной почте — одному из наиболее распространенных векторов. Такая\r\nфункциональность есть, например, в Kaspersky Anti Targeted Attack (KATA).\r\nПроведение регулярных тестирований на проникновение и RedTeam-проектов. Это поможет\r\nвыявить уязвимые места инфраструктуры организации, защитить их и тем самым значительно\r\nуменьшить поверхность атаки для злоумышленников.\r\nМониторинг данных об угрозах. Для своевременного обнаружения и блокировки вредоносной\r\nактивности необходимо располагать актуальной информацией о тактиках, инструментах и\r\nинфраструктуре злоумышленников. Для этого нужны потоки данных об угрозах, например\r\nKaspersky Threat Data Feeds.\r\nIoC\r\n14808919a8c40ccada6fb056b7fd7373 — Trojan-Ransom.Win64.CryWiper.a\r\nc:\\windows\\system32\\browserupdate.exe — путь к образцу троянца в системе\r\nhttps://securelist.ru/novyj-troyanec-crywiper/106114/\r\nPage 7 of 8\n\nhxxp://82.221.141.8/IYJHNkmy3XNZ — сервер C\u0026C\r\nSource: https://securelist.ru/novyj-troyanec-crywiper/106114/\r\nhttps://securelist.ru/novyj-troyanec-crywiper/106114/\r\nPage 8 of 8",
	"extraction_quality": 1,
	"language": "RU",
	"sources": [
		"ETDA"
	],
	"origins": [
		"web"
	],
	"references": [
		"https://securelist.ru/novyj-troyanec-crywiper/106114/"
	],
	"report_names": [
		"106114"
	],
	"threat_actors": [],
	"ts_created_at": 1775434192,
	"ts_updated_at": 1775826699,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/39a38fb8345c69d3023af768e3ac748647fa85e5.pdf",
		"text": "https://archive.orkl.eu/39a38fb8345c69d3023af768e3ac748647fa85e5.txt",
		"img": "https://archive.orkl.eu/39a38fb8345c69d3023af768e3ac748647fa85e5.jpg"
	}
}