YYaaa News

微软曝 GigaWiper 破坏性后门|伪装勒索但根本不留解密密钥,纯为擦盘而生

一句话总结

微软曝光名为 GigaWiper 的破坏性后门,能擦除磁盘、覆写系统盘、假装勒索加密文件但不留密钥。分析认为是间谍攻击掩护,跟 NotPetya 同构。

微软安全团队发文曝光名为 GigaWiper 的破坏性后门程序——这个后门的性质「极其恶劣」,简单说就是黑客的目的是破坏不是要钱,微软分析认为真正目的是间谍攻击的掩护

技术能力有三:完整擦除整个磁盘、覆写系统盘、运行伪造的勒索软件加密用户文件——但关键在于,黑客压根不会保存加密密钥。这个设计把勒索软件的形态拿来当伪装,实际上是纯破坏性 wiper,跟 NotPetya 2017 年那次同构,但走的是「假装要钱」的路线让受害者延迟反应、把应急响应资源引到错误方向。

这种形态的变异点在动机分离。勒索软件的商业模型是「加密-勒索-解密」闭环,密钥是产品;GigaWiper 把密钥扔掉,等于承认自己不打算收钱。这种攻击已经进入国家级 threat actor 的工具箱——伊朗、朝鲜、俄罗斯 APT 过去五年都用过类似形态,NotPetya 是俄罗斯 GRU 对乌克兰发动,Shamoon 是伊朗打沙特 Aramco 的变种。

微软未公开 GigaWiper 的 CVE 或归属信息,也未公布已知受害者数量。这篇曝光文章的价值在于命名——把 wiper 伪装成 ransomware 这种变体命名后,安全社区才能开始建 signature、写 YARA 规则、做溯源。

企业侧行动:检查关键服务器上是否有异常的加密进程但没有勒索信、确认备份的 offline 存储、把「假勒索」这种可能性写进应急响应手册。

via 蓝点网
微軟曝 GigaWiper 破壞性後門|偽裝勒索但根本不留解密密鑰,純為擦盤而生