周三下午,运维团队发现几台Windows服务器突然变得异常安静。屏幕壁纸被换成了一张猩红的警示图,所有文档、数据库文件的扩展名齐刷刷变成了.candy。当他们试图寻找勒索信息时,却找不到任何钱包地址、联系邮箱或付款金额——既没有留下解密密钥,也没有打算给受害者“赎身”的机会。这不是一次拙劣的勒索攻击,而是有人故意要强行报废这些机器,顺便让受害者连支付赎金的选项都没有。
微软安全团队最近拆解了一款名为GigaWiper的破坏性Windows后门,它的核心逻辑就是把三套老旧的破坏工具拼装成一个可以按命令选择的武器库。攻击者一旦进入内网,就能像翻菜单一样挑选用哪种方式让一台电脑彻底变砖。而且,这玩意儿还带了一套静默监控套件,等于先偷看个够,再亲手按下“自毁”按钮。
![]()
同一个恶意文件还出现在另一份报告里,名字换成了BLUERABBIT。上个月,安全公司Binary Defense标记了这个后门。微软为GigaWiper列出了四个哈希值,Binary Defense为BLUERABBIT给出的哈希值完全一致,两台命令控制服务器也相同。Binary Defense引用谷歌威胁情报组的分析,将该恶意软件关联到一个可能来自伊朗的攻击组织,目标直指以色列机构。微软则没有提及任何国家背景。
GigaWiper用Go语言编写,跑在Windows上,通过编号命令来下发任务。其中有三个命令专门用来摧毁机器,手段各异,但结果都一样——不留半点恢复可能。
第一个是裸盘擦除器。它会直接覆写整个物理驱动器,连硬盘的分区表一起抹掉,然后强制重启。分区表相当于磁盘的“目录”,一旦被毁,操作系统连文件结构都认不出来,更别提数据恢复了。这招跳过逐文件删除,直捣黄龙,磁盘内容被从物理层上清零。
第二个是“冒牌勒索”。它的核心基于一个叫Crucio的老代码,运行后会加密文件、加上.candy后缀,再把桌面壁纸换成恐吓图片。但这条勒索链条里缺了最关键的两样东西:赎金条和解密密钥。没有密钥,意味着文件永远解不开;没有赎金条,对方根本就没想让你付款。这完全是披着勒索外衣的纯粹破坏,目的只有把数据搅成一锅粥。
最后一个专门针对Windows系统盘,会用不同数据模式反复覆盖多次。微软认定它是另一个追踪编号为FlockWiper的擦除器用Go语言重写后的版本。无论哪种方式,结局都是被加密的文件由于密钥丢失而无法解锁,被擦除的磁盘只能靠干净的离线备份重建。攻击者的目标从头到尾就是让机器变死,不是为了敲一笔钱。
破坏只是GigaWiper的一半本事。同一个后门还能悄悄窥探并遥控受感染电脑。它会抓取所有显示器的屏幕截图,在工作时段录屏,甚至可以打开一个隐藏的VNC会话,把桌面画面实时流出去,同时允许攻击者远程打字、移动鼠标,就像坐在受害者工位上一样。
信息收集方面,它会提取系统详细信息,管理正在运行的程序和服务,编辑注册表,还能清除Windows事件日志来抹掉入侵痕迹。微软在分析的样本中还发现了一堆处于休眠状态的命令桩,包括键盘记录器和其他擦除器的代码框架,说明这套工具还有更多没激活的功能。
为了不被发现,GigaWiper一直在伪装成OneDrive。它创建一个名为“OneDrive Update”的计划任务,每分钟运行一次,同时在注册表项HKCU\SOFTWARE\OneDrive\Environment下记录自身状态。当它建立远程控制通道时,还会利用一条防火墙规则来做掩护,把通信行为藏进合法流量的影子里。
不用讨论要不要打补丁,因为GigaWiper根本不是漏洞——它是攻击者已经在系统内部之后才会投放的工具。这也意味着,所谓“防御”不能依赖事后修复,只能靠早期检测和一套稳稳的离线备份。花里胡哨的擦除术、戏精上身的假勒索,加上藏在OneDrive壳子里的间谍模块,攻击者把这些机关攒在一起,就是要让你清楚一件事:这台机器,救不回来了。
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.