俄罗斯黑客使用数据擦除恶意软件攻击乌克兰。

在俄罗斯军队攻击乌克兰后，乌克兰也遭受了大规模网络攻击，研究人员分析发现在攻击中使用了一款新的数据擦除恶意软件。数据擦除恶意软件旨在清除设备上的数据，使得设备上的数据不可恢复，操作系统也无法再正常工作。

数据擦除恶意软件

2月25日，乌克兰政府机构和银行机构遭受DDoS攻击。随后，网络安全公司赛门铁克（Symantec）和ESET分析发现在攻击乌克兰政府机构的网络攻击活动中使用了一款破坏性的数据擦除恶意软件。

赛门铁克在推特上分享了该恶意软件的哈希值，目前在 VirusTotal上只有16个安全引擎能够成功检测。

ESET发现的恶意软件样本为Win32/KillDisk.NCV，样本编译时间为21年12月28日，这表明该起网络攻击活动已经准备了至少2个月时间。

BleepingComputer研究人员分析恶意软件样本发现其中包含4个嵌入的驱动文件，分别是DRV_X64、DRV_X86、DRV_XP_X64和DRV_XP_X86。

嵌入的驱动文件

这些驱动是用Windows compress命令压缩的，解压后发现这些文件是由CHENGDU YIWO技术开发公司签名的，该公司是EASUS 数据恢复和硬盘管理软件开发者。

嵌入的驱动的签名

恶意软件执行后，数据擦除恶意软件会以新Windows服务的形式安装其中一个驱动文件。

数据擦除恶意软件创建的服务

驱动中的字符串表明属于EASUS Partition Manager项目：

Disk
\Device\Harddisk%u\Partition0
\Device\EPMNTDRV
\DosDevices\EPMNTDRV

ESET 研究人员相信恶意软件再重启计算机前，这些EASUS 驱动文件已经被修改来破坏设备的文件。

安全研究人员Silas Cutler进一步确认该恶意软件会破坏设备的Master Boot Record，使得设备无法启动。

ESET称在至少一起攻击活动中，个人电脑并不是攻击目标，恶意软件被直接部署在了Windows域控制器。这也表明攻击者已经成功入侵网络一段时间了。

针对乌克兰网络攻击的第二波网络攻击

本次针对乌克兰网络攻击活动中使用的数据擦除恶意软件是过去两个月内使用的第二款数据擦除恶意软件。2022年1月，微软称发现一款破坏性的数据擦除恶意软件伪装成勒索软件来攻击乌克兰机构。

该数据擦除恶意软件名为WhisperGate，伪装成勒索软件攻击，甚至可以攻击特定的文件后缀并发出勒索信。但事实上该款恶意软件是一个破坏性的数据擦除恶意软件，可以破坏文件，擦除设备的Master Boost Record，使得设备启动后无法进入Windows 系统或者访问文件。

虽然目前还无法确定这些攻击活动是否是俄罗斯发起的，但在过去有俄罗斯政府背景的APT黑客组织就多次使用数据擦除恶意软件作为工具来进行网络攻击。

2017年，俄罗斯黑客组织就使用NotPetya 勒索软件对上千个乌克兰企业发起数据擦除攻击活动。

本文翻译自：https://www.bleepingcomputer.com/news/security/new-data-wiping-malware-used-in-destructive-attacks-on-ukraine/如若转载，请注明原文地址