Wipers是一种恶意软件,可以删除或破坏组织对文件和数据的访问权限。这种类型的恶意软件通常用作破坏和中断的工具,因为关键信息的丢失可能会使组织无法维持业务运营或执行某些操作。
Wipers是如何工作的?
Wipers的目的是使数据无法访问和使用。但是,与勒索软件不同的是,其目的不是在支付赎金后恢复访问。Wiper 会永远销毁数据,这可以通过多种方式实现:可以加密或覆盖文件的内容,或者攻击者可以通过攻击操作系统本身来使它们无法访问。
使用Wipers的原因
Wipers 不会让攻击者赚钱,这是网络攻击最常见的动机。攻击者可能选择使用Wipers的破坏力的一些原因包括:
- 破坏:如果Wipers破坏了重要数据或破坏了重要软件,组织可能无法继续业务运营。
- 销毁证据:Wipers 可用于销毁网络攻击、间谍活动或攻击者不希望公开的其他活动的证据。
- 网络战:在冲突期间,针对组织部署了多个Wipers变体,表明这种类型的恶意软件越来越多地被用作战时破坏的工具。
Wipers技术
Wipers旨在以几种不同的方式销毁数据,包括:
- 覆盖文件:擦除文件的最常见方法之一是用其他数据覆盖它们。例如,一个文件的内容可能被替换为 NULL (0x00) 字节或 1 和 0 的随机组合。
- 加密文件: Wipers 可以通过加密文件和破坏原始版本来模仿勒索软件。然而,Wipers会破坏解密密钥,使得即使受害者支付赎金也无法解密数据和检索内容。
- MBR 损坏:主启动记录 (MBR) 告诉计算机如何启动,因此损坏或覆盖它会使系统无法启动。但是,计算机的所有文件都保留在磁盘上,并且可以在初始中断后恢复。
- MFT 损坏:主文件表 (MFT) 是计算机内存中每个文件存储位置的索引。与 MBR 一样,损坏 MFT 会导致文件无法访问,但如果它们保留在磁盘上,它们仍然可以恢复。
如何防止Wipers
组织可以采取各种措施来保护自己免受Wipers造成的数据丢失。一些最佳实践包括以下内容:
- 数据备份:Wipers旨在破坏组织的数据,造成中断。如果组织有另一个副本,那么攻击的长期影响就会最小化,因为数据可以从备份中恢复。
- 员工培训: Wiper 和其他类型的恶意软件通常通过网络钓鱼攻击传播。网络意识培训可以帮助员工识别和应对未遂的Wipers感染。
- 电子邮件安全:电子邮件是网络钓鱼内容最常见的传递媒介之一。电子邮件安全解决方案可以识别并阻止包含恶意附件或指向传送恶意软件的网站的链接的邮件。
- 补丁管理: Wipers 还可以利用未打补丁的漏洞访问公司系统。及时安装更新和补丁有助于弥补这些漏洞,以免它们被攻击者利用。
- 账户安全:网络罪犯还可能使用受损凭据远程访问员工账户并直接植入恶意软件。实施多因素身份验证 (MFA) 和零信任安全原则可以降低成功攻击的风险。
- 端点安全:端点安全解决方案可以检测和阻止诸如Wipers之类的恶意软件。此外,这些解决方案可能有助于减轻和补救活动性感染。
