ใบเสนอราคาส่วนลดใบอนุญาตหลายใบ
ฐานข้อมูลภัยคุกคาม มัลแวร์ HermeticWiper

HermeticWiper

โดย CagedTech ใน มัลแวร์
แปลเป็น:

ดัชนีชี้วัดภัยคุกคาม

ระดับภัยคุกคาม: 80 % (สูง)
คอมพิวเตอร์ที่ติดเชื้อ: 11
เห็นครั้งแรก: July 23, 2012
ครั้งสุดท้ายที่เจอ: November 14, 2025
ระบบปฏิบัติการที่ได้รับผลกระทบ: Windows

HermeticWiper เป็นภัยคุกคามมัลแวร์ที่ทำลายล้างอย่างยิ่ง ออกแบบมาเพื่อทำให้คอมพิวเตอร์ที่ละเมิดใช้งานไม่ได้โดยเฉพาะ ภัยคุกคามดังกล่าวใช้กับองค์กรจำนวนมากในยูเครน และมีแนวโน้มว่าจะเกี่ยวข้องกับการรุกรานประเทศของรัสเซีย จากการสรุปของผู้จำหน่ายการรักษาความปลอดภัยทางไซเบอร์หลายราย เครื่องจักรหลายร้อยเครื่องที่เป็นขององค์กรจากภาคอุตสาหกรรมต่างๆ - การเงิน การบิน การป้องกันประเทศ และบริการไอที ถูกบุกรุกแล้ว จำนวนรวมของคอมพิวเตอร์ที่ได้รับผลกระทบมีแนวโน้มสูงขึ้นมาก

รายละเอียดการทำงานและการโจมตี

HermeticWiper สามารถสร้างความเสียหายให้กับ Master Boot Record (MBR) ของพีซี Windows ซึ่งเป็นส่วนประกอบสำคัญที่รับผิดชอบในการโหลดระบบปฏิบัติการที่ถูกต้อง การลบมัลแวร์จะทำให้ทั้งระบบและหยุดการบูตไม่ได้ จากข้อมูลของบริษัทรักษาความปลอดภัย SentinelOne เทคนิคที่ใช้โดยภัยคุกคามนั้นเกี่ยวข้องกับการใช้ประโยชน์จากไดรเวอร์ที่ถูกต้องตามกฎหมายของแอปพลิเคชัน EaseUs Partition Master ฟรี และส่งผลให้ฮาร์ดไดรฟ์ของระบบเสียหาย สำหรับภัยคุกคามนั้น ดูเหมือนว่าจะมีการลงนามด้วยใบรับรองดิจิทัลของบริษัทที่ชื่อ 'Hermetica Digital Ltd.' ตั้งอยู่ในประเทศไซปรัส

ดูเหมือนว่าการโจมตี HermeticeWiper จะได้รับการวางแผนล่วงหน้าอย่างดี โดยอาชญากรไซเบอร์ได้บุกรุกระบบเป้าหมายบางระบบเมื่อหลายเดือนก่อน ในบางระบบ ผู้โจมตียังปรับใช้ภัยคุกคามแรนซัมแวร์ควบคู่ไปกับ HermeticWiper แต่การเคลื่อนไหวนี้น่าจะเป็นความพยายามเบี่ยงเบนเพื่อปกปิดเจตนาที่แท้จริงของพวกเขา

รายงานการวิเคราะห์

ข้อมูลทั่วไป

Family Name: Trojan.HermeticWiper
Signature status: Hash Mismatch

Known Samples

MD5: 382fc1a3c5225fceb672eea13f572a38
SHA1: d9a3596af0463797df4ff25b7999184946e3bfa2
SHA256: 2C10B2EC0B995B88C27D141D6F7B14D6B8177C52818687E4FF8E6ECF53ADF5BF
ขนาดไฟล์: 117.00 KB, 117000 bytes

Windows Portable Executable Attributes

  • File doesn't have "Rich" header
  • File doesn't have exports table
  • File is 32-bit executable
  • File is either console or GUI application
  • File is GUI application (IMAGE_SUBSYSTEM_WINDOWS_GUI)
  • File is Native application (NOT .NET application)
  • File is not packed
  • IMAGE_FILE_DLL is not set inside PE header (Executable)
  • IMAGE_FILE_EXECUTABLE_IMAGE is set inside PE header (Executable Image)

File Icons

Digital Signatures

Signer Root Status
Hermetica Digital Ltd DigiCert EV Code Signing CA (SHA2) Hash Mismatch

Block Information

Total Blocks: 55
Potentially Malicious Blocks: 45
Whitelisted Blocks: 10
Unknown Blocks: 0

Visual Map

1 1 1 0 x 0 x x x x x 0 x x x x x x x x x x 0 x x x x x x x x x x x x x x 0 x x 0 0 x x x x x x x x x x x x x
0 - Probable Safe Block
? - Unknown Block
x - Potentially Malicious Block

Similar Families

  • HermeticWiper.A

Files Modified

File Attributes
c: Generic Read,Write Data,Write Attributes,Write extended,Append data
c:\windows\system32\drivers\hzdr Generic Read,Write Data,Write Attributes,Write extended,Append data
c:\windows\system32\drivers\hzdr Generic Write,Read Attributes
c:\windows\system32\drivers\hzdr.sys Generic Read,Write Data,Write Attributes,Write extended,Append data

Registry Modifications

Key::Value ข้อมูล API Name
HKLM\system\controlset001\control\crashcontrol::crashdumpenabled RegNtPreCreateKey

Windows API Usage

Category API
Other Suspicious
  • AdjustTokenPrivileges
Service Control
  • OpenSCManager
  • OpenService

กระทู้ที่เกี่ยวข้อง

มัลแวร์สายพันธุ์ใหม่ WhisperGate และ HermeticWiper... สกรีนช็อต

มัลแวร์สายพันธุ์ใหม่ WhisperGate และ HermeticWiper...

ความปลอดภัยทางคอมพิวเตอร์
ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ได้ระบุมัลแวร์ล่าสุดสองสายที่ออกแบบมาเพื่อขัดขวางการดำเนินงานประจำวันขององค์กรเป้าหมายหลายแห่งทั่วยูเครน ปรสิตที่เป็นปัญหา – WhisperGate และ HermeticWiper –...
มัลแวร์ 'HermeticWiper'... สกรีนช็อต

มัลแวร์ 'HermeticWiper'...

ความปลอดภัยทางคอมพิวเตอร์
การรุกรานยูเครนของรัสเซียได้สร้างความปั่นป่วนความสัมพันธ์ทั่วโลกในหลายประเทศด้วยเหตุผลหลายประการ ท่ามกลางการรุกรานของรัสเซียในยูเครนที่มีความไม่แน่นอนหลายประการ แฮกเกอร์ยังได้รวมเอา...

มาแรง

ส่วนขยายเบราว์เซอร์ Star Field

โปรแกรมที่อาจไม่เป็นที่ต้องการ, แฮกเกอร์เบราว์เซอร์
นักวิจัยของ Infosec ค้นพบ Star Field ซึ่งเป็นส่วนขยายของเบราว์เซอร์อันธพาล ระหว่างการตรวจสอบเว็บไซต์ที่หลอกลวง ส่วนขยายนี้ดึงดูดผู้ใช้ด้วยสัญญาว่าจะแสดงวอลเปเปอร์เบราว์เซอร์ที่มีธีมเป็นดาว...

อิเล็กทรอนิกส์ส่วนบุคคล

มัลแวร์ Mac, แอดแวร์, โปรแกรมที่อาจไม่เป็นที่ต้องการ
ในระหว่างการวิเคราะห์แอปพลิเคชันที่อาจล่วงล้ำและไม่น่าเชื่อถืออย่างครอบคลุม นักวิจัยพบแอปพลิเคชัน ElectronicPersonal จากการตรวจสอบอย่างละเอียด...

แรนซั่มแวร์ที่ถูกขโมย (MedusaLocker)

แรนซัมแวร์
ด้วยวิวัฒนาการที่รวดเร็วของภัยคุกคามดิจิทัล แรนซัมแวร์ยังคงเป็นหนึ่งในอาชญากรรมไซเบอร์ที่สร้างความเสียหายและมีค่าใช้จ่ายสูงที่สุด การโจมตีเหล่านี้สามารถล็อกเหยื่อจากไฟล์ของตนเอง...

เข้าชมมากที่สุด

มัลแวร์

ฟิชชิ่ง, สแปม
31,658
ข้อความหลอกลวง 'Apple Pay Suspended' เป็นกลวิธีฟิชชิงประเภทหนึ่งที่กำหนดเป้าหมายผู้ใช้ Apple Pay ข้อความอ้างว่ากระเป๋าเงิน Apple Pay ของผู้ใช้ถูกระงับและขอให้คลิกลิงก์เพื่อกู้คืน อย่างไรก็ตาม การคลิกลิงก์จะนำผู้ใช้ไปยังเว็บไซต์ปลอมที่ออกแบบมาเพื่อขโมยข้อมูลส่วนบุคคลและข้อมูลทางการเงิน หากผู้ใช้ตกเป็นเหยื่อของแผนการนี้ ผลที่ตามมาอาจร้ายแรง...
'Geek Squad' อีเมลหลอกลวง สกรีนช็อต

'Geek Squad' อีเมลหลอกลวง

ฟิชชิ่ง, สแปม
29,088
Geek Squad ผู้ให้บริการสนับสนุนด้านเทคนิคยอดนิยม ได้กลายเป็นเหยื่อของกลโกงฟิชชิ่งที่เรียกว่า Geek Squad Email Scam กลโกงการสนับสนุนทางเทคนิคนี้ใช้อีเมลปลอมที่หลอกลวงให้ผู้คนเปิดเผยข้อมูลส่วนบุคคล...

Fuq.คอม

โปรแกรมต่อต้านสปายแวร์ Rogue, มัลแวร์ Mac
22,827
Fuq.com เป็นโปรแกรมประเภทแอดแวร์ที่ส่งเสริมเว็บไซต์ที่มีเนื้อหาอนาจาร แคมเปญโฆษณาของโปรแกรมที่อาจไม่เป็นที่ต้องการ (PUP) นี้มีความก้าวร้าวมาก...
กำลังโหลด...