多許可證折扣報價
威脅數據庫 惡意軟體 HermeticWiper

HermeticWiper

惡意軟體CagedTech
翻譯為:

威脅評分卡

威胁级别: 80 % (高的)
受感染的计算机: 11
初见: July 23, 2012
最后一次露面: November 14, 2025
受影响的操作系统: Windows

HermeticWiper 是一種極具破壞性的惡意軟件威脅,旨在使被破壞的計算機無法運行具體來說。該威脅針對烏克蘭的眾多組織,可能與俄羅斯入侵該國有關。根據幾家網絡安全供應商的結論,屬於不同行業組織(金融、航空、國防和 IT 服務)的數百台機器已經受到攻擊。受影響的計算機總數可能要高得多。

功能和攻擊細節

HermeticWiper 能夠破壞 Windows PC 的主引導記錄 (MBR),這是負責正確加載操作系統的關鍵組件。通過擦除它,惡意軟件會阻塞整個系統並阻止其啟動。據安全公司 SentinelOne 稱,該威脅使用的技術涉及利用免費 EaseUs Partition Master 應用程序的合法驅動程序,並導致系統硬盤驅動器損壞。至於威脅本身,它似乎是使用屬於一家名為“Hermetica Digital Ltd.”的公司的數字證書籤名的。位於塞浦路斯。

HermeticWiper 攻擊似乎是提前計劃好的,網絡犯罪分子在幾個月前就破壞了一些目標系統。在某些系統上,攻擊者還與 HermeticWiper 一起部署了勒索軟件威脅,但這一舉動很可能是為了掩蓋他們的真實意圖。

分析报告

一般信息

Family Name: Trojan.HermeticWiper
Signature status: Hash Mismatch

Known Samples

MD5: 382fc1a3c5225fceb672eea13f572a38
SHA1: d9a3596af0463797df4ff25b7999184946e3bfa2
SHA256: 2C10B2EC0B995B88C27D141D6F7B14D6B8177C52818687E4FF8E6ECF53ADF5BF
文件大小: 117.00 KB, 117000 bytes

Windows Portable Executable Attributes

  • File doesn't have "Rich" header
  • File doesn't have exports table
  • File is 32-bit executable
  • File is either console or GUI application
  • File is GUI application (IMAGE_SUBSYSTEM_WINDOWS_GUI)
  • File is Native application (NOT .NET application)
  • File is not packed
  • IMAGE_FILE_DLL is not set inside PE header (Executable)
  • IMAGE_FILE_EXECUTABLE_IMAGE is set inside PE header (Executable Image)

File Icons

Digital Signatures

Signer Root Status
Hermetica Digital Ltd DigiCert EV Code Signing CA (SHA2) Hash Mismatch

Block Information

Total Blocks: 55
Potentially Malicious Blocks: 45
Whitelisted Blocks: 10
Unknown Blocks: 0

Visual Map

1 1 1 0 x 0 x x x x x 0 x x x x x x x x x x 0 x x x x x x x x x x x x x x 0 x x 0 0 x x x x x x x x x x x x x
0 - Probable Safe Block
? - Unknown Block
x - Potentially Malicious Block

Similar Families

  • HermeticWiper.A

Files Modified

File Attributes
c: Generic Read,Write Data,Write Attributes,Write extended,Append data
c:\windows\system32\drivers\hzdr Generic Read,Write Data,Write Attributes,Write extended,Append data
c:\windows\system32\drivers\hzdr Generic Write,Read Attributes
c:\windows\system32\drivers\hzdr.sys Generic Read,Write Data,Write Attributes,Write extended,Append data

Registry Modifications

Key::Value 数据 API Name
HKLM\system\controlset001\control\crashcontrol::crashdumpenabled RegNtPreCreateKey

Windows API Usage

Category API
Other Suspicious
  • AdjustTokenPrivileges
Service Control
  • OpenSCManager
  • OpenService

熱門

Star Field 瀏覽器擴展

潛在有害程序, 瀏覽器劫持者
信息安全研究人員在檢查欺騙性網站時發現了 Star Field,這是一種流氓瀏覽器擴展。這個特殊的擴展通過承諾顯示明星主題的瀏覽器壁紙來吸引用戶。 然而,安裝後,Star Field 很快就透露其主要功能是充當瀏覽器劫持者。它對瀏覽器設置進行未經授權的修改,故意將用戶重定向到 search.star-field.net 地址,這是一個欺詐性和虛假的搜索引擎。 像 Star Field...

電子個人

Mac 惡意軟體, 廣告軟體, 潛在有害程序
在對具有潛在侵入性和不可靠性的應用程式進行全面分析時,研究人員偶然發現了 ElectronicPersonal 應用程式。經過徹底檢查,他們最終確定該應用程式嵌入了廣告軟體功能。此外,ElectronicPersonal 已被確定為AdLoad惡意軟體家族的成員。這個特定應用程式的主要目標是透過向 Mac 裝置投放可疑廣告為其開發人員創造收入。 ElectronicPersonal...

被竊 (MedusaLocker) 勒索軟體

勒索軟體
隨著數位威脅的快速演變,勒索軟體仍然是最具破壞性和代價最高的網路犯罪形式之一。這些攻擊會導致受害者無法存取自己的文件,擾亂業務運營,並造成重大的經濟和聲譽損失。因此,維持良好的網路安全習慣對於最大限度地減少遭受 Stolen(MedusaLocker)勒索軟體等惡意軟體感染的風險至關重要。 被盜勒索軟體概述 網路安全研究人員發現了一種名為 Stolen 的危險勒索軟體變種,它屬於...

最受關注

如何修復“打印機驅動程序不可用”錯誤

問題
49,538
打印機因拒絕在用戶最需要的時候完成工作而臭名昭著。幸運的是,如果您的打印機顯示“打印機驅動程序不可用”錯誤,那麼有幾個簡單的解決方案可以解決該問題。此特定錯誤可能是由損壞的驅動程序文件、過時的驅動程序或驅動程序不兼容引起的。雖然使用 Microsoft 的通用驅動程序可以避免該問題,但我們想向您介紹其他解決方案。 更新打印機的驅動程序...

Discord 卡在灰色屏幕上

問題
38,966
有時,在使用 Discord 應用程序時,用戶可能會卡在灰色屏幕上。在流式傳輸或簡單地加載應用程序時可能會出現此問題。如果您遇到這種情況並且想知道如何解決它,請嘗試以下解決方案。 在屏幕模式之間切換 如果原因是視覺故障而不是更嚴重的問題,從一種屏幕模式切換到另一種屏幕模式,例如啟用全屏模式或較小的屏幕選項,可以解決問題。按鍵盤上的 Ctrl+A 看看它是否有任何效果。 刪除 Discord...
Discord 在共享屏幕時顯示黑屏截图

Discord 在共享屏幕時顯示黑屏

問題
36,559
首次推出時,Discord 是一個面向遊戲社區的 VoIP 平台。然而,在接下來的幾年裡,它擴大了範圍,增加了許多新功能,並成為最大的社交平台之一,每月活躍用戶超過 1.4 億。目前,用戶可以發送私人即時消息、啟動 VoIP 和視頻通話、流式傳輸他們的計算機屏幕,並組織以特定興趣為中心的稱為服務器的社區。 毫無疑問,快速輕鬆地開始共享計算機屏幕的能力是吸引人們使用 Discord...
加載中...