Popust za več licenc
Podjetje o grožnjah Zlonamerna programska oprema HermeticWiper

HermeticWiper

Do leta CagedTech leta Zlonamerna programska oprema
Prevedi v:

Bonitetna ocena

Stopnja nevarnosti: 80 % (Visoko)
Okuženi računalniki: 11
Prvič viden: July 23, 2012
Nazadnje viden: November 14, 2025
Zadeti OS: Windows

HermeticWiper je izjemno uničujoča grožnja z zlonamerno programsko opremo, zasnovana tako, da onemogoči delovanje vlomljenih računalnikovposebej. Grožnja je bila usmerjena proti številnim organizacijam v Ukrajini in je verjetno povezana z rusko invazijo na državo. Po ugotovitvah več ponudnikov kibernetske varnosti je bilo ogroženih že na stotine strojev, ki pripadajo organizacijam iz različnih industrijskih sektorjev – finančnih, letalskih, obrambnih in IT storitev. Skupno število prizadetih računalnikov je verjetno veliko večje.

Funkcionalnost in podrobnosti o napadu

HermeticWiper lahko poškoduje glavni zagonski zapis (MBR) osebnih računalnikov Windows, ki je ključna komponenta, ki je odgovorna za pravilno nalaganje operacijskega sistema. Z brisanjem zlonamerna programska oprema uniči celoten sistem in prepreči njegovo zagon. Po mnenju varnostnega podjetja SentinelOne tehnika, ki jo uporablja grožnja, vključuje izkoriščanje zakonitih gonilnikov brezplačne aplikacije EaseUs Partition Master in povzroči poškodbe trdih diskov sistema. Kar se tiče same grožnje, se zdi, da je podpisana z digitalnim potrdilom, ki pripada podjetju z imenom "Hermetica Digital Ltd." ki se nahaja na Cipru.

Zdi se, da je bil napad HermeticeWiper načrtovan že vnaprej, saj so kibernetski kriminalci ogrozili nekatere ciljne sisteme mesece prej. V nekaterih sistemih so napadalci poleg HermeticWiperja uvedli tudi grožnje z izsiljevalsko programsko opremo, vendar je ta poteza najverjetneje poskus preusmeritve, da bi prikrili svoje resnične namene.

Poročilo o analizi

Splošne informacije

Family Name: Trojan.HermeticWiper
Signature status: Hash Mismatch

Known Samples

MD5: 382fc1a3c5225fceb672eea13f572a38
SHA1: d9a3596af0463797df4ff25b7999184946e3bfa2
SHA256: 2C10B2EC0B995B88C27D141D6F7B14D6B8177C52818687E4FF8E6ECF53ADF5BF
Velikost datoteke: 117.00 KB, 117000 bytes

Windows Portable Executable Attributes

  • File doesn't have "Rich" header
  • File doesn't have exports table
  • File is 32-bit executable
  • File is either console or GUI application
  • File is GUI application (IMAGE_SUBSYSTEM_WINDOWS_GUI)
  • File is Native application (NOT .NET application)
  • File is not packed
  • IMAGE_FILE_DLL is not set inside PE header (Executable)
  • IMAGE_FILE_EXECUTABLE_IMAGE is set inside PE header (Executable Image)

File Icons

Digital Signatures

Signer Root Status
Hermetica Digital Ltd DigiCert EV Code Signing CA (SHA2) Hash Mismatch

Block Information

Total Blocks: 55
Potentially Malicious Blocks: 45
Whitelisted Blocks: 10
Unknown Blocks: 0

Visual Map

1 1 1 0 x 0 x x x x x 0 x x x x x x x x x x 0 x x x x x x x x x x x x x x 0 x x 0 0 x x x x x x x x x x x x x
0 - Probable Safe Block
? - Unknown Block
x - Potentially Malicious Block

Similar Families

  • HermeticWiper.A

Files Modified

File Attributes
c: Generic Read,Write Data,Write Attributes,Write extended,Append data
c:\windows\system32\drivers\hzdr Generic Read,Write Data,Write Attributes,Write extended,Append data
c:\windows\system32\drivers\hzdr Generic Write,Read Attributes
c:\windows\system32\drivers\hzdr.sys Generic Read,Write Data,Write Attributes,Write extended,Append data

Registry Modifications

Key::Value Podatki API Name
HKLM\system\controlset001\control\crashcontrol::crashdumpenabled RegNtPreCreateKey

Windows API Usage

Category API
Other Suspicious
  • AdjustTokenPrivileges
Service Control
  • OpenSCManager
  • OpenService

Sorodne objave

V trendu

Najbolj gledan

Nalaganje...