Разделы
Материалы

Вирус стирает данные с компьютеров украинцев во время вторжения РФ, — ESET

Фото: Pixabay | Компьютерный вирус

После заражения ПО, Hermetic Wiper уничтожает файлы, необходимые для загрузки операционной системы, поэтому устройства больше не запускаются.

Вредоносная программа, стирающая данные, заразила сотни компьютеров в Украине на фоне вторжения России. Об этом исследователи компании ESET сообщили на своей странице в Twitter.

ПО назвали Hermetic Wiper, или Win32/KillDisk.NCV. Как выяснила ESET, вирус не только стирает файлы с диска, но и уничтожает Master boot record (MBR) — код и данные, необходимые для последующей загрузки операционной системы, в результате запуск и восстановление становятся невозможными.

Специалисты по кибербезопасности заявили, что первый образец компьютерного вируса обнаружили 23 февраля в 15:00 по всемирному координированному времени (13:00 по киевскому). ESET считает, что злоумышленники разрабатывали код последние два месяца.

"Телеметрия ESET показывает, что оно (вредоносное ПО, — ред.) было установлено ​​на сотнях компьютеров в стране", — заявили в компании. — "Событие следует за DDoS-атаками на несколько украинских сайтов сегодня утром (23 февраля — ред.)".

Эксперты ESET рассказали изданию The Register, что инструмент для удаления данных криптографически подписан легальным, вероятно, украденным сертификатом разработчика Hermetica Digital, чтобы антивирусные программы и пользователи доверяли ему. При этом "вирус" использует драйвер из программного обеспечения EaseUS Partition Master для повреждения накопителей информации и уничтожения файлов в зараженных системах.

Специалистам пока не удалось окончательно разобраться, как ПО попадает на компьютеры украинцев и каким образом запускается. В одном из случаев сервер Active Directory был скомпрометирован для распространения вируса по сети через объект групповой политики — это набор правил или настроек для рабочей среды.

В Symantec также заявили об обнаружении вредоносного ПО, уничтожающего данные в Украине. Компания, принадлежащая Broadcom, добавила, что программа заразила компьютеры в Латвии и Литве.

24 февраля Россия начала военную операцию против Украины. Первые взрывы прогремели в Киеве и Харькове, а президент РФ Владимир Путин объявил о начале военной операции.

23 февраля хакеры атаковали сайты Верховной Рады, Кабмина, МИД, СБУ и "24 канала". Долгое время пользователи не могли получить доступ к этим ресурсам. Позже Госспецсвязи сообщило, что государственные сайты успешно выдержали мощную DDoS-атаку.