Херметична чистачка

До CagedTech през Зловреден софтуерг

Превод на:

Показател за заплахи

EnigmaSoft Threat Scorecard

EnigmaSoft Threat Scorecards са доклади за оценка на различни заплахи от зловреден софтуер, които са събрани и анализирани от нашия изследователски екип. EnigmaSoft Threat Scorecards оценява и класира заплахите, като използва няколко показателя, включително реални и потенциални рискови фактори, тенденции, честота, разпространение и устойчивост. EnigmaSoft Threat Scorecards се актуализират редовно въз основа на нашите изследователски данни и показатели и са полезни за широк кръг компютърни потребители, от крайни потребители, търсещи решения за премахване на зловреден софтуер от техните системи, до експерти по сигурността, анализиращи заплахи.

EnigmaSoft Threat Scorecards показва разнообразна полезна информация, включително:

Popularity Rank: The ranking of a particular threat in EnigmaSoft’s Threat Database.

Ниво на сериозност: Определеното ниво на сериозност на обект, представено числено, въз основа на нашия процес на моделиране на риска и изследване, както е обяснено в нашите критерии за оценка на заплахите .

Заразени компютри: Броят на потвърдените и предполагаеми случаи на определена заплаха, открити на заразени компютри, както се съобщава от SpyHunter.

Вижте също Критерии за оценка на заплахите .

Ниво на заплаха:	80 % (Високо)
Заразени компютри:	11

Първо видяно:	July 23, 2012
Последно видян:	November 14, 2025
Засегнати операционни системи:	Windows

HermeticWiper е изключително разрушителна заплаха за злонамерен софтуер, предназначена да направи нарушените компютри неработоспособниконкретно. Заплахата беше насочена срещу множество организации в Украйна и вероятно е свързана с руската инвазия в страната. Според заключенията на няколко доставчици на киберсигурност, стотици машини, принадлежащи на организации от различни сектори на индустрията - финансови, авиационни, отбранителни и ИТ услуги, вече са компрометирани. Общият брой на засегнатите компютри вероятно е много по-голям.

Съдържание

Функционалност и подробности за атаките

HermeticWiper е в състояние да повреди главния запис за зареждане (MBR) на компютри с Windows, който е важен компонент, отговорен за правилното зареждане на операционната система. Като го изтрие, зловредният софтуер блокира цялата система и спира да може да бъде стартирана. Според охранителната фирма SentinelOne, техниката, използвана от заплахата, включва използване на легитимните драйвери на безплатното приложение EaseUs Partition Master и води до повреждане на твърдите дискове на системата. Що се отнася до самата заплаха, тя изглежда е подписана с цифров сертификат, принадлежащ на компания на име „Hermetica Digital Ltd.“ намира се в Кипър.

Атаката на HermeticeWiper изглежда е планирана доста предварително, като киберпрестъпниците компрометират някои от насочените системи месеци по-рано. В някои системи нападателите също разположиха заплахи за откуп заедно с HermeticWiper, но този ход най-вероятно е опит за отклоняване да маскират истинските им намерения.

Доклад за анализ

Главна информация

Family Name:	Trojan.HermeticWiper
Signature status:	Hash Mismatch

Known Samples

MD5: 382fc1a3c5225fceb672eea13f572a38

SHA1: d9a3596af0463797df4ff25b7999184946e3bfa2

SHA256: 2C10B2EC0B995B88C27D141D6F7B14D6B8177C52818687E4FF8E6ECF53ADF5BF

Размер на файла: 117.00 KB, 117000 bytes

Windows Portable Executable Attributes

File doesn't have "Rich" header
File doesn't have exports table
File is 32-bit executable
File is either console or GUI application
File is GUI application (IMAGE_SUBSYSTEM_WINDOWS_GUI)
File is Native application (NOT .NET application)
File is not packed
IMAGE_FILE_DLL is not set inside PE header (Executable)
IMAGE_FILE_EXECUTABLE_IMAGE is set inside PE header (Executable Image)

File Icons

Digital Signatures

Signer	Root	Status
Hermetica Digital Ltd	DigiCert EV Code Signing CA (SHA2)	Hash Mismatch

Block Information

Total Blocks:	55
Potentially Malicious Blocks:	45
Whitelisted Blocks:	10
Unknown Blocks:	0

Visual Map

1 1 1 0 x 0 x x x x x 0 x x x x x x x x x x 0 x x x x x x x x x x x x x x 0 x x 0 0 x x x x x x x x x x x x x

0 - Probable Safe Block
? - Unknown Block
x - Potentially Malicious Block

Similar Families

HermeticWiper.A

Files Modified

File	Attributes
c:	Generic Read,Write Data,Write Attributes,Write extended,Append data
c:\windows\system32\drivers\hzdr	Generic Read,Write Data,Write Attributes,Write extended,Append data
c:\windows\system32\drivers\hzdr	Generic Write,Read Attributes
c:\windows\system32\drivers\hzdr.sys	Generic Read,Write Data,Write Attributes,Write extended,Append data

Registry Modifications

Key::Value	Данни	API Name
HKLM\system\controlset001\control\crashcontrol::crashdumpenabled		RegNtPreCreateKey

Windows API Usage

Category	API
Other Suspicious	AdjustTokenPrivileges
Service Control	OpenSCManager OpenService

Процесорът за плащане на EnigmaSoft Digital River GmbH Подаването на молба за несъстоятелност не оказва влияние върху защитата на клиентите на SpyHunter срещу зловреден софтуер

Търсене

Промяна на региона

Херметична чистачка

Показател за заплахи

EnigmaSoft Threat Scorecard

Функционалност и подробности за атаките

Доклад за анализ

Главна информация

Known Samples

Known Samples

Windows Portable Executable Attributes

Windows Portable Executable Attributes

File Icons

File Icons

Digital Signatures

Digital Signatures

Block Information

Block Information

Visual Map

Similar Families

Similar Families

Files Modified

Files Modified

Registry Modifications

Registry Modifications

Windows API Usage

Windows API Usage

Изпратете коментар

Тенденция

Разширение за браузър Star Field

ElectronicPersonal

Откраднат (MedusaLocker) рансъмуер

Най-гледан

Раздорът е заседнал на сивия екран

Как да коригираме „macOS не може да потвърди, че...

Какво е 'msedgewebview2.exe'?