多许可证折扣报价
威胁数据库 恶意软件 HermeticWiper

HermeticWiper

通过CagedTech恶意软件
翻译为:

威胁评分卡

威胁级别: 80 % (高的)
受感染的计算机: 11
初见: July 23, 2012
最后一次露面: November 14, 2025
受影响的操作系统: Windows

HermeticWiper 是一种极具破坏性的恶意软件威胁,旨在使被破坏的计算机无法运行具体来说。该威胁针对乌克兰的众多组织,可能与俄罗斯入侵该国有关。根据几家网络安全供应商的结论,属于不同行业组织(金融、航空、国防和 IT 服务)的数百台机器已经受到攻击。受影响的计算机总数可能要高得多。

功能和攻击细节

HermeticWiper 能够破坏 Windows PC 的主引导记录 (MBR),这是负责正确加载操作系统的关键组件。通过擦除它,恶意软件会阻塞整个系统并阻止其启动。据安全公司 SentinelOne 称,该威胁使用的技术涉及利用免费 EaseUs Partition Master 应用程序的合法驱动程序,并导致系统硬盘驱动器损坏。至于威胁本身,它似乎是使用属于一家名为“Hermetica Digital Ltd.”的公司的数字证书签名的。位于塞浦路斯。

HermeticWiper 攻击似乎是提前计划好的,网络犯罪分子在几个月前就破坏了一些目标系统。在某些系统上,攻击者还与 HermeticWiper 一起部署了勒索软件威胁,但这一举动很可能是为了掩盖他们的真实意图。

分析报告

一般信息

Family Name: Trojan.HermeticWiper
Signature status: Hash Mismatch

Known Samples

MD5: 382fc1a3c5225fceb672eea13f572a38
SHA1: d9a3596af0463797df4ff25b7999184946e3bfa2
SHA256: 2C10B2EC0B995B88C27D141D6F7B14D6B8177C52818687E4FF8E6ECF53ADF5BF
文件大小: 117.00 KB, 117000 bytes

Windows Portable Executable Attributes

  • File doesn't have "Rich" header
  • File doesn't have exports table
  • File is 32-bit executable
  • File is either console or GUI application
  • File is GUI application (IMAGE_SUBSYSTEM_WINDOWS_GUI)
  • File is Native application (NOT .NET application)
  • File is not packed
  • IMAGE_FILE_DLL is not set inside PE header (Executable)
  • IMAGE_FILE_EXECUTABLE_IMAGE is set inside PE header (Executable Image)

File Icons

Digital Signatures

Signer Root Status
Hermetica Digital Ltd DigiCert EV Code Signing CA (SHA2) Hash Mismatch

Block Information

Total Blocks: 55
Potentially Malicious Blocks: 45
Whitelisted Blocks: 10
Unknown Blocks: 0

Visual Map

1 1 1 0 x 0 x x x x x 0 x x x x x x x x x x 0 x x x x x x x x x x x x x x 0 x x 0 0 x x x x x x x x x x x x x
0 - Probable Safe Block
? - Unknown Block
x - Potentially Malicious Block

Similar Families

  • HermeticWiper.A

Files Modified

File Attributes
c: Generic Read,Write Data,Write Attributes,Write extended,Append data
c:\windows\system32\drivers\hzdr Generic Read,Write Data,Write Attributes,Write extended,Append data
c:\windows\system32\drivers\hzdr Generic Write,Read Attributes
c:\windows\system32\drivers\hzdr.sys Generic Read,Write Data,Write Attributes,Write extended,Append data

Registry Modifications

Key::Value 数据 API Name
HKLM\system\controlset001\control\crashcontrol::crashdumpenabled RegNtPreCreateKey

Windows API Usage

Category API
Other Suspicious
  • AdjustTokenPrivileges
Service Control
  • OpenSCManager
  • OpenService

趋势

Star Field 浏览器扩展

可能不需要的程序, 浏览器劫持者
信息安全研究人员在检查欺骗性网站时发现了 Star Field,这是一种流氓浏览器扩展。这个特殊的扩展通过承诺显示明星主题的浏览器壁纸来吸引用户。 然而,安装后,Star Field 很快就透露其主要功能是充当浏览器劫持者。它对浏览器设置进行未经授权的修改,故意将用户重定向到 search.star-field.net 地址,这是一个欺诈性的虚假搜索引擎。 像 Star Field...

电子个人

Mac 恶意软件, 广告软件, 可能不需要的程序
在对具有潜在侵入性和不可靠性的应用程序进行全面分析时,研究人员偶然发现了 ElectronicPersonal 应用程序。经过彻底检查,他们最终确定该应用程序嵌入了广告软件功能。此外,ElectronicPersonal 已被确定为AdLoad恶意软件家族的成员。这个特定应用程序的主要目标是通过向 Mac 设备投放可疑广告为其开发人员创收。 ElectronicPersonal...

被盗 (MedusaLocker) 勒索软件

勒索软件
随着数字威胁的快速演变,勒索软件仍然是最具破坏性和代价最高的网络犯罪形式之一。这些攻击会导致受害者无法访问自己的文件,扰乱业务运营,并造成重大的经济和声誉损失。因此,保持良好的网络安全习惯对于最大限度地减少遭受诸如 Stolen(MedusaLocker)勒索软件等恶意软件感染的风险至关重要。 被盗勒索软件概述 网络安全研究人员发现了一种名为 Stolen 的危险勒索软件变种,它属于...

最受关注

如何修复“打印机驱动程序不可用”错误

问题
49,538
打印机因拒绝在用户最需要的时候完成工作而臭名昭著。幸运的是,如果您的打印机显示“打印机驱动程序不可用”错误,那么有几个简单的解决方案可以解决该问题。此特定错误可能是由损坏的驱动程序文件、过时的驱动程序或驱动程序不兼容引起的。虽然使用 Microsoft 的通用驱动程序可以避免该问题,但我们想向您介绍其他解决方案。 更新打印机的驱动程序...

Discord 卡在灰色屏幕上

问题
38,966
有时,在使用 Discord 应用程序时,用户可能会卡在灰色屏幕上。在流式传输或简单地加载应用程序时可能会出现此问题。如果您遇到这种情况并且想知道如何解决它,请尝试以下解决方案。 在屏幕模式之间切换 如果原因是视觉故障而不是更严重的问题,从一种屏幕模式切换到另一种屏幕模式,例如启用全屏模式或较小的屏幕选项,可以解决问题。按键盘上的 Ctrl+A 看看它是否有任何效果。 删除 Discord...
Discord 在共享屏幕时显示黑屏截图

Discord 在共享屏幕时显示黑屏

问题
36,559
首次推出时,Discord 是一个面向游戏社区的 VoIP 平台。然而,在接下来的几年里,它扩大了范围,增加了许多新功能,并成为最大的社交平台之一,每月活跃用户超过 1.4 亿。目前,用户可以发送私人即时消息、启动 VoIP 和视频通话、流式传输他们的计算机屏幕,并组织以特定兴趣为中心的称为服务器的社区。 毫无疑问,快速轻松地开始共享计算机屏幕的能力是吸引人们使用 Discord...
正在加载...