Після зараження ПЗ Hermetic Wiper знищує файли, необхідні для завантаження операційної системи, тому пристрої більше не запускаються.
Шкідлива програма, що стирає дані, заразила сотні комп'ютерів в Україні на тлі вторгнення Росії. Про це дослідники компанії ESET повідомили на своїй сторінці у Twitter.
ПЗ назвали Hermetic Wiper, або Win32/KillDisk.NCV. Як з'ясувала ESET, вірус не тільки стирає файли з диска, але й знищує Master boot record (MBR) — код та дані, необхідні для подальшого завантаження операційної системи, у результаті запуск та відновлення стають неможливими.
Фахівці з кібербезпеки заявили, що перший зразок комп'ютерного вірусу виявили 23 лютого о 15:00 за всесвітнім координованим часом (13:00 за київським). ESET вважає, що зловмисники розробляли код останні два місяці.
"Телеметрія ESET показує, що воно (шкідливе ПЗ, — ред.) було встановлено на сотнях комп'ютерів у країні", — заявили в компанії. — "Подія слідує за DDoS-атаками на кілька українських сайтів сьогодні вранці (23 лютого — ред.)".
Експерти ESET розповіли виданню The Register, що інструмент для видалення даних криптографічно підписаний легальним, ймовірно, вкраденим сертифікатом розробника Hermetica Digital, щоб антивірусні програми та користувачі довіряли йому. При цьому "вірус" використовує драйвер із програмного забезпечення EaseUS Partition Master для пошкодження накопичувачів інформації та знищення файлів у заражених системах.
Фахівцям поки що не вдалося остаточно розібратися, як ПЗ потрапляє на комп'ютери українців та яким чином запускається. В одному з випадків сервер Active Directory був скомпрометований для поширення вірусу через мережу через об'єкт групової політики — це набір правил або налаштувань для робочого середовища.
У Symantec також заявили про виявлення шкідливого програмного забезпечення, яке знищує дані в Україні. Компанія, що належить Broadcom, додала, що програма заразила комп'ютери у Латвії та Литві.
24 лютого Росія розпочала військову операцію проти України. Перші вибухи пролунали в Києві та Харкові, а президент РФ Володимир Путін оголосив про початок військової операції.
23 лютого хакери атакували сайти Верховної Ради, Кабміну, МЗС, СБУ та "24 каналу". Довгий час користувачі не могли отримати доступ до цих ресурсів. Пізніше Держспецзв'язку повідомило, що державні сайти успішно витримали потужну DDoS-атаку.