微软发现恶性后门程序:可以擦除整个磁盘/覆写系统盘/加密文件但不保留解密密钥
微软对恶性后门程序 GigaWiper 发布拆解分析报告:可以擦除整个磁盘、覆写系统分区、使用随机密钥加密所有文件。GigaWiper 最早可以追溯到 2023 年,这个后门程序主要用于间谍攻击,当黑客察觉到调查分析时就可能启动破坏性组件,将这个硬盘上的数据擦除避免被查到蛛丝马迹。
微软安全团队日前发文曝光名为 GigaWiper 的破坏性后门程序,这个后门程序性质极其恶劣,简单来说就是黑客的目的是破坏而不是出于经济利益,不过分析显示黑客的真正目的其实还是间谍攻击。微软称这个后门程序支持完整擦除整个磁盘、覆写系统盘,以及运行伪造的勒索软件加密用户文件,但黑客压根不会保存加密密钥。
这个破坏性后门程序具备的功能:
原始磁盘擦除工具:该工具会在系统重启前覆盖物理驱动器并擦除分区表,这不是简单地删除文件,而是直接摧毁磁盘内容,受害者想要通过常规方式恢复硬盘的难度非常大,即便是专业的数据恢复软件想要完整恢复数据估计也很困难。
擦除系统分区数据:该工具会使用多种不同的数据模式多次覆写系统分区,由于系统分区数据出现损坏,因此关机后系统也无法再重新启动。同理,这种多次对系统分区的覆写行为,让数据恢复难度极大,可以说基本没有恢复的可能性。
伪装勒索软件加密:值得注意的是这个破坏性后门程序还会伪装成勒索软件对用户数据进行高强度加密,微软分析后发现,黑客确实使用勒索软件对数据进行加密,但并未回传解密密钥到服务器,这意味着连黑客自己都不可能再解密这些数据。
主要可能还是间谍用途:
尽管后门程序包含诸多破坏性行为,但微软经过仔细分析后认为这个后门程序主要可能还是用于间谍目的,其包含的多个功能可以用来监视和控制受感染的设备,例如对显示器进行截图、在用户工作时悄悄录制屏幕,还可以开启隐藏的 VNC 会话来串流显示画面。
从分析和其他公开数据来看,黑客在前期将这个后门程序用于间谍目的收集目标设备的各类敏感信息,当达成目标或察觉被调查时,就可以启动破坏性组件直接将硬盘数据摧毁,这样调查机构也难以从被摧毁的硬盘里收集数据进行分析。
这个破坏性后门程序具备的功能:
原始磁盘擦除工具:该工具会在系统重启前覆盖物理驱动器并擦除分区表,这不是简单地删除文件,而是直接摧毁磁盘内容,受害者想要通过常规方式恢复硬盘的难度非常大,即便是专业的数据恢复软件想要完整恢复数据估计也很困难。
擦除系统分区数据:该工具会使用多种不同的数据模式多次覆写系统分区,由于系统分区数据出现损坏,因此关机后系统也无法再重新启动。同理,这种多次对系统分区的覆写行为,让数据恢复难度极大,可以说基本没有恢复的可能性。
伪装勒索软件加密:值得注意的是这个破坏性后门程序还会伪装成勒索软件对用户数据进行高强度加密,微软分析后发现,黑客确实使用勒索软件对数据进行加密,但并未回传解密密钥到服务器,这意味着连黑客自己都不可能再解密这些数据。
主要可能还是间谍用途:
尽管后门程序包含诸多破坏性行为,但微软经过仔细分析后认为这个后门程序主要可能还是用于间谍目的,其包含的多个功能可以用来监视和控制受感染的设备,例如对显示器进行截图、在用户工作时悄悄录制屏幕,还可以开启隐藏的 VNC 会话来串流显示画面。
从分析和其他公开数据来看,黑客在前期将这个后门程序用于间谍目的收集目标设备的各类敏感信息,当达成目标或察觉被调查时,就可以启动破坏性组件直接将硬盘数据摧毁,这样调查机构也难以从被摧毁的硬盘里收集数据进行分析。


评论1次
这玩意儿本质就是个「跑路工具」,不是真勒索。
真勒索是为了赚钱,密钥肯定得留着。但这个直接就不传密钥,说明黑客的真实目的就是毁灭证据。前期当间谍用,偷完东西直接物理销毁硬盘,让调查的人什么都捞不着,这套路在国家级APT里不算新鲜了。
几个点值得关注:
多层擦除机制 —— 不是简单删文件,是覆写分区表和xi统分区,这种物理级破坏基本没法恢复。所以别指望中了还能找数据恢复公司。
伪装成勒索软件 —— 迷惑性很强,中招的人第一反应是交赎金,等发现根本没密钥的时候已经晚了。这也是为什么这种混合手法越来越常见。
VNC+录屏组合 —— 说明它有很强的控制能力,不只是破坏,还能在潜伏期持续监控目标。间谍用完就清场,很符合APT的操作风格。
说白了,这类工具就不是给普通企业准备的,目标要么是高价值个人,要么是对抗溯源需求极高的行动。如果你觉得这玩意儿跟你没关xi,那确实关xi不大;但如果你是高价值目标(比如关键基础设施、重要人员),这种擦地式攻击是真实存在的威胁,别心存侥幸。