趨勢科技發現KillDisk新變種 正瞄準拉丁美洲金融機構
趨勢科技的安全研究團隊最近在針對拉丁美洲金融機構的黑客攻擊活動中發現了一個名為「KillDisk」硬碟擦除惡意軟體的新變種,並正在對其進行更深入的研究分析。
最初的分析表明,這個變種看起來像是另一個惡意軟體的滴管組件。其文件路徑在惡意軟體中進行了硬編碼,這意味著它與其安裝程序緊密結合,或者是更大程序包的一組成部分。
早期版本的KillDisk被設計為擦除硬碟,以使受感染系統無法正常運行。在2015年針對烏克蘭能源部門、銀行、鐵路、採礦等行業的攻擊活動中,它與惡意軟體BlackEnergy(黑暗力量)中一起被使用。
BlackEnergy是一款受歡迎的犯罪軟體(即一種使犯罪活動自動化的惡意軟體),流通在俄羅斯的地下網路,最早能夠追溯到2007年。
在烏克蘭攻擊事件大約一年後,研究人員報告說,開發者已經將KillDisk變成了文件加密勒索軟體,影響到Windows和Linux平台。但就像Petya一樣,由於KillDisk會覆蓋和刪除文件(並且不會將加密密鑰存儲在硬碟或網路上),因此恢復已加密的文件是根本不可能的。
趨勢科技將這個新變種追蹤為「TROJ_KILLDISK.IUB」,它的根本目的在於刪除文件和擦除硬碟。根據研究人員的說法,它會掃描所有的硬碟空間,包括本地的或可移動的。除了以下系統文件和文件夾以外,其他文件都將被刪除:
WINNT
Users
Windows
Program Files
Program Files (x86)
ProgramData
Recovery (case-sensitive check)
$Recycle.Bin
System Volume Information
old
PerfLogs
在刪除文件后,它會繼續擦除硬碟,其中包括讀取主引導記錄(MBR)並覆蓋擴展引導記錄(EBR)。
文件刪除和硬碟擦除涉及覆蓋文件和硬碟扇區,這會使得文件以及系統恢復變得更加困難。
一旦文件和分區被刪除並被覆蓋,惡意軟體將嘗試終止多個進程,這些進程包括:
客戶機/伺服器運行時子系統(exe);
Windows啟動(exe);
Windows登錄(exe);
本地安全機構子系統服務(exe)。
這樣做很可能會強制受感染設備自行重新啟動或迫使受害者重新啟動設備。例如,終止csrss.exe和wininit.exe會導致藍屏死機(BSOD);終止winlogon.exe將提示受害者再次重新登錄;而終止lsass.exe將導致受感染設備自行重新啟動。
關於KillDisk這個新變種更多的信息,趨勢科技正在進行更深入的研究分析。隨著調查的繼續,我們會及時將這些信息進行公布。
本文由 黑客視界 綜合網路整理,圖片源自網路;轉載請註明「轉自黑客視界」,並附上鏈接。