WhisperGate

WhisperGate 是一个冒充勒索软件的威胁性 MBR（主引导记录）擦除器。该恶意软件能够破坏受感染的机器完全，让他们甚至无法启动。微软威胁情报中心的研究人员于 2022 年 1 月 13 日发现了该威胁，他们注意到乌克兰多个系统上的异常活动。一位当地网络安全专家与美联社分享，攻击者很可能通过供应链攻击成功感染了政府网络。

到目前为止，该攻击不能归因于任何已知的 APT（高级持续威胁）组有信心，因此研究人员认为这是由网络犯罪现场的新演员执行的。攻击者设法破坏了属于多个政府、非营利组织和信息技术组织的多台计算机。乌克兰代表表示，他们认为俄罗斯是这次袭击的幕后黑手。考虑到该地区的地缘政治局势，这似乎是一个可能的结论。

WhisperGate 行动的第一阶段

WhisperGate 恶意软件以名为“stage1.exe”的文件的形式放置在 C:\PerfLogs、C:\ProgramData、C:\ 和 C:\temp 目录之一中的受感染系统上。为了转移人们对其真正目的的注意力，WhisperGate 采用了勒索软件威胁中通常观察到的几个特征。它提供了一张赎金票据，声称攻击者希望获得 10,000 美元的比特币。这笔钱应该转移到提供的加密钱包地址。该说明提到，受害者可以通过提供的 Tox ID for Tox（一种加密的消息传递协议）与黑客联系。但是，当受感染的机器关闭时，WhisperGate 会覆盖其 MBR 记录，这是硬盘驱动器中用于正确加载操作系统的部分。

通过破坏 MBR，WhisperGate 使系统变砖有效地进行任何尝试恢复其上的数据的尝试都注定要失败，即使是攻击者自己也是如此。这违背了任何勒索软件操作的目标，因为如果网络犯罪分子无法向受害者保证受影响的文件可以恢复到之前的状态，他们将不会获得报酬安全。还有其他迹象表明，勒索软件部分只是用来掩盖攻击者的真实意图。

WhisperGate 的第 2 阶段

在攻击的第二阶段，一个新的专用文件损坏恶意软件被部署在被破坏的设备上。名为“stage2.exe”的文件充当下载程序，从 Discord 频道获取文件损坏程序。下载链接被硬编码到下载器本身。执行有效负载后，它会扫描系统上的特定目录以查找与 180 多个不同扩展名列表匹配的文件。所有目标文件的内容将被固定数量的 0xCC 字节覆盖。为操作设置的总文件大小为 1MB。加扰文件后，破坏者将通过添加随机的四字节扩展名来更改其原始名称。

假定的赎金票据的文本是：

'您的硬盘已损坏。
如果您想恢复所有硬盘驱动器
您的组织，
你应该通过比特币钱包向我们支付 1 万美元
1AVNM68gj6PGPFcJuftKATa4WLnzg8fpfv 并通过发送消息
毒物 ID 8BEDC411012A33BA34F49130D0F186993C6A32DAD8976F6A5D82C1ED23054C057ECED5496F65
与您的组织名称。
我们将与您联系以提供进一步的指示。 '