Çoklu Lisans İndirim Teklifi
Tehdit Veritabanı Kötü amaçlı yazılım HermeticWiper

HermeticWiper

CagedTech'de Kötü amaçlı yazılım'de
Çevir:

Tehdit Puan Kartı

Tehlike seviyesi: 80 % (Yüksek)
Etkilenen Bilgisayarlar: 11
İlk görüş: July 23, 2012
Son görülen: November 14, 2025
Etkilenen İşletim Sistemleri: Windows

HermeticWiper, ihlal edilen bilgisayarları çalışamaz hale getirmek için tasarlanmış, son derece yıkıcı bir kötü amaçlı yazılım tehdididir.özellikle. Tehdit, Ukrayna'daki çok sayıda kuruluşa karşı kullanıldı ve muhtemelen Rusya'nın ülkeyi işgaliyle bağlantılı. Birkaç siber güvenlik tedarikçisinin vardığı sonuçlara göre, finans, havacılık, savunma ve BT hizmetleri gibi farklı endüstri sektörlerinden kuruluşlara ait yüzlerce makinenin güvenliği zaten ihlal edilmiş durumda. Etkilenen bilgisayarların toplam sayısı muhtemelen çok daha yüksektir.

İşlevsellik ve Saldırı Detayları

HermeticWiper, işletim sisteminin doğru yüklenmesinden sorumlu çok önemli bir bileşen olan Windows PC'lerin Ana Önyükleme Kaydı'nı (MBR) bozabilir. Kötü amaçlı yazılım, onu silerek tüm sistemi bloke eder ve önyüklenebilir olmasını engeller. Güvenlik firması SentinelOne'a göre, tehdit tarafından kullanılan teknik, ücretsiz EaseUs Partition Master uygulamasının yasal sürücülerinden yararlanmayı içeriyor ve sistemin sabit disklerinin bozulmasına neden oluyor. Tehdidin kendisine gelince, 'Hermetica Digital Ltd.' adlı bir şirkete ait dijital bir sertifika ile imzalanmış gibi görünüyor. Kıbrıs'ta yer almaktadır.

HermeticWiper saldırısı, siber suçluların aylar önce hedeflenen sistemlerden bazılarını tehlikeye atması ile önceden planlanmış gibi görünüyor. Bazı sistemlerde, saldırganlar HermeticWiper'ın yanı sıra fidye yazılımı tehditleri de kullandılar, ancak bu hareket büyük olasılıkla gerçek niyetlerini gizlemek için bir oyalama girişimidir.

Analiz raporu

Genel bilgi

Family Name: Trojan.HermeticWiper
Signature status: Hash Mismatch

Known Samples

MD5: 382fc1a3c5225fceb672eea13f572a38
SHA1: d9a3596af0463797df4ff25b7999184946e3bfa2
SHA256: 2C10B2EC0B995B88C27D141D6F7B14D6B8177C52818687E4FF8E6ECF53ADF5BF
Dosya boyutu: 117.00 KB, 117000 bytes

Windows Portable Executable Attributes

  • File doesn't have "Rich" header
  • File doesn't have exports table
  • File is 32-bit executable
  • File is either console or GUI application
  • File is GUI application (IMAGE_SUBSYSTEM_WINDOWS_GUI)
  • File is Native application (NOT .NET application)
  • File is not packed
  • IMAGE_FILE_DLL is not set inside PE header (Executable)
  • IMAGE_FILE_EXECUTABLE_IMAGE is set inside PE header (Executable Image)

File Icons

Digital Signatures

Signer Root Status
Hermetica Digital Ltd DigiCert EV Code Signing CA (SHA2) Hash Mismatch

Block Information

Total Blocks: 55
Potentially Malicious Blocks: 45
Whitelisted Blocks: 10
Unknown Blocks: 0

Visual Map

1 1 1 0 x 0 x x x x x 0 x x x x x x x x x x 0 x x x x x x x x x x x x x x 0 x x 0 0 x x x x x x x x x x x x x
0 - Probable Safe Block
? - Unknown Block
x - Potentially Malicious Block

Similar Families

  • HermeticWiper.A

Files Modified

File Attributes
c: Generic Read,Write Data,Write Attributes,Write extended,Append data
c:\windows\system32\drivers\hzdr Generic Read,Write Data,Write Attributes,Write extended,Append data
c:\windows\system32\drivers\hzdr Generic Write,Read Attributes
c:\windows\system32\drivers\hzdr.sys Generic Read,Write Data,Write Attributes,Write extended,Append data

Registry Modifications

Key::Value Veri API Name
HKLM\system\controlset001\control\crashcontrol::crashdumpenabled RegNtPreCreateKey

Windows API Usage

Category API
Other Suspicious
  • AdjustTokenPrivileges
Service Control
  • OpenSCManager
  • OpenService

İlgili Mesajlar

trend

En çok görüntülenen

Yükleniyor...