一种新的数据清除方式恶意软件被发现攻击了乌克兰的电脑,它有能力删除主机和附加存储设备上的数据。
杀毒提供商ESET于周一首次发现了这种基于windows的恶意软件,并将其命名为“CaddyWiper”。该公司注意到(在新窗口打开)这种恶意代码只有9千字节,存在于乌克兰“数量有限的组织的几十个系统中”。
推特(在新窗口打开)
该恶意软件的罪魁祸首尚不清楚,但ESET表示,CaddyWiper是在黑客侵入受害者的网络后安装的。具体来说,恶意软件是通过劫持受害者的组策略对象这是微软创建的一个组件,可以帮助IT管理员管理和配置整个公司网络中的计算机。
据报道,乌克兰当局相信(在新窗口打开)最新版本的CaddyWiper针对的是该国的金融机构。
推特(在新窗口打开)
思科的Talos安全部门也是如此检查(在新窗口打开)恶意软件首先破坏“C:\Users”上的文件,然后再攻击下一个驱动器号,直到它到达“Z”驱动器。Talos说:“这意味着雨刷器也会试图擦除连接到系统上的任何网络映射驱动器。”
为了清除数据,恶意软件将覆盖每个文件和存储分区零,阻止恢复。然而,如果恶意软件检测到计算机是域控制器,即可以通过公司网络响应身份验证请求的服务器,它就不会删除数据。
ESET表示:“这可能是攻击者在干扰运营的同时,保持对组织内部访问权限的一种方式。”
令人惊讶的是,据ESET报道,CaddyWiper与最近几周在乌克兰攻击Windows电脑的另外三种数据清除恶意软件在代码上没有相似之处。早在一月份,微软检测到最初的变种被称为“耳语门”。在2月和3月,安全公司发现了HermeticWiper另一个名为“IsaacWiper”,随着俄罗斯入侵乌克兰,它在乌克兰的公司中传播开来。
乌克兰发生的“破坏性”恶意软件事件引发了美国警告称,同样的攻击可能会波及美国公司。美国网络当局现在是敦促(在新窗口打开)组织加强他们的IT防御,这可以包括运行更多的反病毒扫描,保持软件的最新,并使用多因素身份验证在所有登录系统上。