透视俄乌网络战之一：数据擦除软件( 二 ) _恶意

该工具还会将不能访问的文件重命名为临时名称，然后擦拭新重命名的文件。创建了一个日志文件C:\\log.txt.其中保存了破坏活动的进度。
4.
乌克兰国家特殊通信和信息保护局发现了另外一种恶意擦除软件，该机构表示它重复使用了80%日的勒索软件代码(又名勒索软件)，并试图伪装成勒索软件攻击来隐藏其攻击方式和目的，分散调查人员对攻击者的注意力。
5.
（1）简介
专门设计用于通过擦除用户数据、程序、硬盘驱动器以及在某些情况下分区信息来破坏目标系统。
3 月 15 日，网络安全公司ESET 发布了一个帖子，记录了名为的恶意软件，该恶意软件是在将其部署到目标网络的同一天编译的。
（2）分析
文件擦除算法由两个阶段组成：第一阶段覆盖文件，另一个阶段破坏物理磁盘布局和分区表。
对于文件销毁，它在获得 lege 后通过修改文件的ACL条目来获得文件的所有权。然后，找到的文件将简单地用零覆盖。
大于 10,485,760 字节 () 的文件将简单地用零覆盖前 10,485,760 字节。
然后清除器将移动到系统上的下一个驱动器，从“D”驱动器开始。它将递归地获得驱动器上文件的权限并用零覆盖它们。这是按字母顺序（通过“Z:\”）为接下来的 23 个驱动器完成的。
第二阶段，擦除器尝试将系统上编号为 9 的所有物理驱动器的驱动器布局设置为 0 。这将擦除有关物理驱动器分区的所有扩展信息，包括 MBR、GPT 和分区条目。

文章插图
擦除器使用归零缓冲区递归执行请求，破坏文件的开头和分区表是其他擦除器上常见的技术，它在防止文件恢复方面非常有效。
6.
是一种用C语言开发的恶意破坏程序，攻击者使用该软件发起鱼叉式网络钓鱼攻击，目前该活动已被跟踪为UAC-0088 。擦除文件使用两种方法破坏文件：用4096字节的零块覆盖其内容或使用API调用、。恶意软件会在关闭受感染的系统之前删除以下注册表HKCU、HKU、HKLM、HKLM\BCD 。
7.
（1）简介
美国网络安全公司于3月31日发布题为《 | A Modem Wiper Rains Down on 》的报告。报告称，美国卫星通信提供商于2月底遭受的网络攻击可能源于名为“酸雨”的恶意擦除软件。
表示，“酸雨”可能是专门为针对乌克兰的行动而开发的，用于破坏调制解调器和路由器；该软件通过使用KA-SAT管理机制被部署在调制解调器和路由器上，随后会对设备文件系统进行深度擦除，完成擦除后会重新启动设备导致设备无法启用；“酸雨”功能相对简单，并且会进行暴力尝试，这意味着攻击者可能不熟悉目标固件的详情，或希望该工具保持通用性和复用性；“酸雨”和恶意软件存在相似之处，后者被认为与俄罗斯黑客组织“奇幻熊”和“沙虫”存在关联。
（2）分析
该软件于3月15日，由一名意大利用户以“ukrop”为名将“酸雨”上传到后。研究人员称，“ukrop”可能是“乌克兰行动”（）的缩写。
认为，“威胁行为者在供应链攻击中使用KA-SAT管理机制来推动为调制解调器和路由器设计的擦除软件。这种设备的擦除软件会覆盖调制解调器闪存中的关键数据，使其无法操作并需要重新刷新或更换。”
被部署后，“酸雨”会遍览受感染的路由器或调制解调器的整个文件系统。它还使用所有可能的设备标识符擦除闪存、SD/MMC卡和可以找到的任何虚拟块设备。为了破坏受感染设备上的数据，“酸雨”使用最多字节的数据覆盖文件内容，或使用、、和输入/输出控制（IOCTL）系统调用。在数据擦除过程完成后，该恶意软件会重新启动设备，使其无法使用。