Dénommé « CryWiper », il est déguisé en rançongiciel. Son origine est inconnue mais sa puissance de nuisance est redoutable.

Kaspersky a publié, le 1er décembre 2022, un rapport sur un nouveau wiper déguisé en rançongiciel. Baptisé « CryWiper », il est particulièrement dévastateur. Il a été repéré pour la première fois cet automne et n’aurait servi qu’à attaquer des tribunaux et mairies russes.

Il permet de prendre le contrôle d’une machine et d’en chiffrer les fichiers. Les cyberattaquants exigent ensuite une rançon de 0,5 bitcoins (environ 8 100 euros). Mais les fichiers sont détruits quoique fasse la victime à l’expiration de l’ultimatum.

« CryWiper » supprime par ailleurs toutes les copies présentes sur la machine infectée pour couper court à toute restauration. Il modifie aussi le registre Windows pour empêcher les connexions à distance. Le malware perturbe ainsi fortement les actions de réponse à incident, ce qui le rend souvent fatal pour les SI infectés.

En termes de code et de fonctionnalités, « CryWiper » n’est lié à aucune famille de logiciels malveillants répertoriés. Son algorithme ressemble certes à celui d’un autre wiper, « Isaacwiper », utilisé par des groupes russes pour attaquer le gouvernement ukrainien en mars 2022. Mais rien ne permet aujourd’hui d’identifier son origine.

Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.
Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.