YYaaa News

微軟曝 GigaWiper 破壞性後門|偽裝勒索但根本不留解密密鑰,純為擦盤而生

一句話總結

微軟曝光名為 GigaWiper 的破壞性後門,能擦除磁盤、覆寫系統盤、假裝勒索加密文件但不留密鑰。分析認為是間諜攻擊掩護,跟 NotPetya 同構。

微軟曝 GigaWiper 破壞性後門|偽裝勒索但根本不留解密密鑰,純為擦盤而生

微軟安全團隊發文曝光名為 GigaWiper 的破壞性後門程序——這個後門的性質「極其惡劣」,簡單說就是黑客的目的是破壞不是要錢,微軟分析認為真正目的是間諜攻擊的掩護

技術能力有三:完整擦除整個磁盤、覆寫系統盤、運行偽造的勒索軟件加密用戶文件——但關鍵在於,黑客壓根不會保存加密密鑰。這個設計把勒索軟件的形態拿來當偽裝,實際上是純破壞性 wiper,跟 NotPetya 2017 年那次同構,但走的是「假裝要錢」的路線讓受害者延遲反應、把應急響應資源引到錯誤方向。

這種形態的變異點在動機分離。勒索軟件的商業模型是「加密-勒索-解密」閉環,密鑰是產品;GigaWiper 把密鑰扔掉,等於承認自己不打算收錢。這種攻擊已經進入國家級 threat actor 的工具箱——伊朗、朝鮮、俄羅斯 APT 過去五年都用過類似形態,NotPetya 是俄羅斯 GRU 對烏克蘭發動,Shamoon 是伊朗打沙特 Aramco 的變種。

微軟未公開 GigaWiper 的 CVE 或歸屬信息,也未公布已知受害者數量。這篇曝光文章的價值在於命名——把 wiper 偽裝成 ransomware 這種變體命名後,安全社區才能開始建 signature、寫 YARA 規則、做溯源。

企業側行動:檢查關鍵服務器上是否有異常的加密進程但沒有勒索信、確認備份的 offline 存儲、把「假勒索」這種可能性寫進應急響應手冊。

via 藍點網
微軟曝 GigaWiper 破壞性後門|偽裝勒索但根本不留解密密鑰,純為擦盤而生