Microsoft a identificat un nou malware, denumit GigaWiper, care poate șterge definitiv datele de pe un calculator și poate oferi atacatorilor acces de la distanță la sistem. Compania precizează însă că, în acest moment, amenințarea vizează în special organizațiile și companiile, nu utilizatorii obișnuiți.
Malware-ul poate face inutilizabil întregul sistem
Specialiștii Microsoft Threat Intelligence au detectat pentru prima dată GigaWiper în octombrie 2025. Analiza publicată recent arată că programul malware combină funcții de spionaj cu mecanisme capabile să distrugă complet datele de pe un PC.
Spre deosebire de alte programe de acest tip, GigaWiper nu se limitează la ștergerea fișierelor. El poate accesa direct unitățile de stocare și poate suprascrie conținutul acestora.
Malware-ul poate elimina informațiile despre partiții și poate rescrie datele de pe hard disk. După finalizarea operațiunii, calculatorul este repornit, iar recuperarea informațiilor devine extrem de dificilă.
GigaWiper simulează un atac ransomware
GigaWiper include și o funcție care imită comportamentul unui ransomware. Programul criptează fișierele și adaugă extensia „.candy”.
Totuși, scopul nu este obținerea unei răscumpărări. Cheile de criptare sunt generate aleatoriu și nu sunt păstrate, astfel că fișierele nu mai pot fi decriptate.
În plus, malware-ul suprascrie de mai multe ori unitatea pe care este instalat Windows, ceea ce reduce și mai mult șansele de recuperare a datelor.
Oferă atacatorilor control asupra calculatorului
Microsoft avertizează că GigaWiper nu este doar un program destinat ștergerii datelor. El funcționează și ca un backdoor, care permite acces permanent la sistemul compromis.
Atacatorii pot realiza capturi de ecran, pot înregistra activitatea utilizatorului și pot controla calculatorul de la distanță. De asemenea, pot colecta informații despre sistem, modifica registrul Windows, administra procese și servicii sau șterge jurnalele de evenimente pentru a-și ascunde urmele.
Se ascunde sub numele unei actualizări OneDrive
Pentru a rămâne activ pe sistem, GigaWiper creează o sarcină programată în Windows Task Scheduler. Aceasta poartă numele „OneDrive Update”, ceea ce o face mai greu de observat.
Comunicarea cu serverele atacatorilor se realizează prin RabbitMQ și Redis. Aceste servicii sunt folosite frecvent în mediile de business, iar traficul generat poate trece mai ușor neobservat.
Malware-ul combină cod din alte familii cunoscute
Potrivit Microsoft, GigaWiper integrează componente preluate din alte programe malware. Unele funcții provin din ransomware-ul Crucio, iar altele din FlockWiper, un malware specializat în distrugerea datelor.
Aceste elemente au fost reunite într-un nou backdoor dezvoltat în limbajul Go. Astfel, atacatorii pot decide dacă folosesc malware-ul pentru spionaj, control de la distanță sau distrugerea completă a sistemului.
Pe cine vizează GigaWiper
În forma actuală, GigaWiper este utilizat în atacuri țintite împotriva companiilor și organizațiilor. Microsoft afirmă că nu există indicii privind o răspândire pe scară largă în rândul utilizatorilor casnici.
Compania recomandă actualizarea constantă a sistemului de operare și a soluțiilor de securitate. De asemenea, utilizatorii nu ar trebui să deschidă fișiere atașate sau aplicații provenite din surse necunoscute.
Pentru mediul de afaceri, Microsoft recomandă activarea funcțiilor avansate de protecție, monitorizarea activităților suspecte și realizarea unor copii de siguranță stocate separat de sistemele principale. Acestea rămân cea mai eficientă metodă de recuperare în cazul unui atac de tip wiper.
