#安全资讯 微软对恶性后门程序 GigaWiper 发布拆解分析报告:可以擦除整个磁盘、覆写系统分区、使用随机密钥加密所有文件。GigaWiper 最早可以追溯到 2023 年,这个后门程序主要用于间谍攻击,当黑客察觉到调查分析时就可能启动破坏性组件,将这个硬盘上的数据擦除避免被查到蛛丝马迹。查看全文:https://ourl.co/113896
微软安全团队日前发文曝光名为 GigaWiper 的破坏性后门程序,这个后门程序性质极其恶劣,简单来说就是黑客的目的是破坏而不是出于经济利益,不过分析显示黑客的真正目的其实还是间谍攻击。微软称这个后门程序支持完整擦除整个磁盘、覆写系统盘,以及运行伪造的勒索软件加密用户文件,但黑客压根不会保存加密密钥。
这个破坏性后门程序具备的功能:
原始磁盘擦除工具:该工具会在系统重启前覆盖物理驱动器并擦除分区表,这不是简单地删除文件,而是直接摧毁磁盘内容,受害者想要通过常规方式恢复硬盘的难度非常大,即便是专业的数据恢复软件想要完整恢复数据估计也很困难。
擦除系统分区数据:该工具会使用多种不同的数据模式多次覆写系统分区,由于系统分区数据出现损坏,因此关机后系统也无法再重新启动。同理,这种多次对系统分区的覆写行为,让数据恢复难度极大,可以说基本没有恢复的可能性。
伪装勒索软件加密:值得注意的是这个破坏性后门程序还会伪装成勒索软件对用户数据进行高强度加密,微软分析后发现,黑客确实使用勒索软件对数据进行加密,但并未回传解密密钥到服务器,这意味着连黑客自己都不可能再解密这些数据。
主要可能还是间谍用途:
尽管后门程序包含诸多破坏性行为,但微软经过仔细分析后认为这个后门程序主要可能还是用于间谍目的,其包含的多个功能可以用来监视和控制受感染的设备,例如对显示器进行截图、在用户工作时悄悄录制屏幕,还可以开启隐藏的 VNC 会话来串流显示画面。
从分析和其他公开数据来看,黑客在前期将这个后门程序用于间谍目的收集目标设备的各类敏感信息,当达成目标或察觉被调查时,就可以启动破坏性组件直接将硬盘数据摧毁,这样调查机构也难以从被摧毁的硬盘里收集数据进行分析。






