CryWiper Data Wiper
Orosz kormányzati szerveket, köztük polgármesteri hivatalokat és bíróságokat támadó adattörlőt (wiper) azonosítottak a Kaspersky kutatói. A kártékony kód zsarolóprogramnak tűnteti fel magát, és zsarolást jelez az adatok „dekódolásáért”, valójában nem titkosítja, hanem szándékosan megsemmisíti az érintett rendszerben lévő adatokat
Az adattörlő, a wiper olyan kártékony program, amely megsemmisíti az adatokat a helyreállítás lehetősége nélkül. 2022-ben többnyire a Ukrán háború kapcsán kerültek előtérbe az adattörlő alkalmazások, így a DoubleZero, IsaacWiper, HermeticWiper, CaddyWiper, WhisperGate, AcidRain, Industroyer2 és RuRansom.
A C++ nyelven írt program egy ütemezett feladaton keresztül tartja fenn a jelenlétét és a kommunikációt a C2 szerverrel a rosszindulatú tevékenység elindításához. Az adatbázis- és e-mail-kiszolgálókkal kapcsolatos folyamatok leállítása mellett a rosszindulatú program rendelkezik a fájlok mentéseinek törlésére és a Windows rendszerleíró adatbázisának módosítására, hogy megakadályozza az RDP-kapcsolatokat, amelyek valószínűleg akadályozzák az incidenskezelési lehetőségeket. A CryWiper Data Wiper megrongálja az összes fájlt, kivéve az .exe, .dll, lnk, .sys és .msi kiterjesztésű fájlokat, miközben kihagy bizonyos könyvtárakat, köztük a C-t is. :\Windows, Boot és tmp, amelyek egyébként működésképtelenné tehetik a gépet. A felülírt fájlokhoz egy .CRY nevű kiterjesztést fűz, és megjelenít egy váltságdíjról szóló üzenetet, , amiben felszólítják az áldozatokat, hogy fizessen 0,5 Bitcoint a hozzáférés visszaszerzéséért.