Вирус стирает данные с компьютеров украинцев во время вторжения РФ, — ESET
После заражения ПО, Hermetic Wiper уничтожает файлы, необходимые для загрузки операционной системы, поэтому устройства больше не запускаются.
Вредоносная программа, стирающая данные, заразила сотни компьютеров в Украине на фоне вторжения России. Об этом исследователи компании ESET сообщили на своей странице в Twitter.
ПО назвали Hermetic Wiper, или Win32/KillDisk.NCV. Как выяснила ESET, вирус не только стирает файлы с диска, но и уничтожает Master boot record (MBR) — код и данные, необходимые для последующей загрузки операционной системы, в результате запуск и восстановление становятся невозможными.
Специалисты по кибербезопасности заявили, что первый образец компьютерного вируса обнаружили 23 февраля в 15:00 по всемирному координированному времени (13:00 по киевскому). ESET считает, что злоумышленники разрабатывали код последние два месяца.
"Телеметрия ESET показывает, что оно (вредоносное ПО, — ред.) было установлено на сотнях компьютеров в стране", — заявили в компании. — "Событие следует за DDoS-атаками на несколько украинских сайтов сегодня утром (23 февраля — ред.)".
Эксперты ESET рассказали изданию The Register, что инструмент для удаления данных криптографически подписан легальным, вероятно, украденным сертификатом разработчика Hermetica Digital, чтобы антивирусные программы и пользователи доверяли ему. При этом "вирус" использует драйвер из программного обеспечения EaseUS Partition Master для повреждения накопителей информации и уничтожения файлов в зараженных системах.
Специалистам пока не удалось окончательно разобраться, как ПО попадает на компьютеры украинцев и каким образом запускается. В одном из случаев сервер Active Directory был скомпрометирован для распространения вируса по сети через объект групповой политики — это набор правил или настроек для рабочей среды.
В Symantec также заявили об обнаружении вредоносного ПО, уничтожающего данные в Украине. Компания, принадлежащая Broadcom, добавила, что программа заразила компьютеры в Латвии и Литве.
24 февраля Россия начала военную операцию против Украины. Первые взрывы прогремели в Киеве и Харькове, а президент РФ Владимир Путин объявил о начале военной операции.
23 февраля хакеры атаковали сайты Верховной Рады, Кабмина, МИД, СБУ и "24 канала". Долгое время пользователи не могли получить доступ к этим ресурсам. Позже Госспецсвязи сообщило, что государственные сайты успешно выдержали мощную DDoS-атаку.