Як повідомляє урядова команда реагування на комп’ютерні надзвичайні події України CERT-UA, виявлено декілька небезпечних ZIP-архівів, один з яких мав назву "Вирус... крайне опасно!!!.zip".
Кожен з архівів містить обфусковану .NET-програму. В результаті проведеного аналізу виявлені програми класифіковано як DoubleZero - шкідлива програма-деструктор, розроблена з використанням мови програмування C#.
Для знищення файлів використовує два способи: перезапис файлів нульовими блоками по 4096 байт (метод FileStream.Write) або ж за допомогою API-викликів NtFileOpen, NtFsControlFile (код: FSCTL_SET_ZERO_DATA). Спочатку здійснюється перезапис всіх несистемних файлів на всіх дисках. Після цього складається перелік системних файлів за маскою, здійснюється їхнє сортування та подальший перезапис у відповідній послідовності. Надалі знищуються гілки реєстру Windows: HKCU, HKU, HKLM, HKLM\BCD. Насамкінець комп'ютер вимикається.
Активність відстежується за ідентифікатором UAC-0088 та має безпосереднє відношення до спроб порушення штатного режиму фунціонування інформаційних систем українських підприємств.
Стратегія охолодження ЦОД для епохи AI
| 0 |
|
