isaacwiper，第三个刮水器自俄罗斯入侵开始以来发现

最后更新：2022.03.02

ISAACWIPER，在俄罗斯侵犯乌克兰的俄罗斯侵犯后，一家新的数据刮水器用于未命名的乌克兰政府网络。ESET研究人员发现了一种被追踪为ISAACWIPER的新数据刮水器，这是针对未命名的乌克兰政府网络使用的俄罗斯侵犯乌克兰后。刮水器首次在2月24日在没有感染的组织中发现，该组织没有感染＆NBSP;赫米麦希尔恶意软件（AKA＆NBSP; Killdisk.ncv），它于2月23日感染了数百台机器。根据网络安全公司＆NBSP; ESET＆NBSP;和 broadcom的 Symantec发现，感染遵循DDOS对几个乌克兰网站的攻击，包括外交部，部长机构和Rada。

#ESetresearch在乌克兰今天发现了一个新的数据刮水器恶意软件。ESET TELEMETRY显示它在数百台机器上安装了数百台机器ry。今天早些时候，DDOS对几个乌克兰网站的攻击1 / N

＆Mdash;ESET Research（@esetresearch）2月23日2022年

研究人员尚未将isaAcwiper归因于某种威胁演员。昨天昨天左右观察到刮水器的第一个样品（16小时52当地时间）但更有趣的是一个是2021-12-28的样本的PE编译时间戳，表明网络攻击可能已经准备近两个月。

以窗口DLL或exe的形式 isaacwiper，没有验证签名;

ESET发现的最旧的PE编译时间戳是10月19日[图123] TH

，2021，一种表明恶意软件可能已经在前面的运营月份使用的情况而不检测到。

isaacwiper和Hermeticwiper没有代码相似性，前者不太诡辩比后者。

一旦感染了一个系统，ISAACWIPER就会通过枚举物理驱动器和呼叫和NBSP; DEVICEIOCONTROL＆NBSP;使用IOCTL＆NBSP; IOCTL_STORAGE_GET_DEVICE_NUMBER＆NBSP;获取其设备号。然后isaacwiper使用 isaac伪随机发生器擦除每个磁盘的第一个0x10000字节。

然后，恶意软件枚举逻辑驱动器并使用ISAAC PRNG的随机字节擦除每个磁盘的内容。专家指出，恶意软件递归地将文件递归在一个线程中擦除文件，但该过程可能对大磁盘耗时。 ESET报告的ESET 2月25日的威胁演员使用带有调试日志的威胁演员。

研究人员推测攻击者无法擦除一些有针对性的机器和使用日志来确定发生了哪些问题。

此时，我们没有迹象表明其他国家是针对性的。结束了分析普ESET暗淡。然而，由于乌克兰的目前危机，同样的威胁行动者仍将推出对乌克兰政府或俄罗斯实体制裁的国家的进一步竞选活动。

- END -