这种新的 Windows 恶意软件可以接管您的 PC 并将其清除

GigaWiper 是一种远程访问特洛伊木马,它可以监视受害者并以三种不同的方式永久擦除其系统。

来源:Malwarebytes Labs 博客

微软发布了关于 GigaWiper 的新研究,这是一个适用于 Windows 的模块化 Golang 后门,它将强大的远程访问与多种永久破坏系统和数据的方法结合起来。

GigaWiper 是 Microsoft 自 2025 年 10 月以来在入侵中观察到的一个 Windows 后门。它不是一个单一用途的擦除器,而是一个在单个恶意软件中融合了命令和控制 (C2)、数据破坏和远程访问选项的操作平台。

值得注意的是,GigaWiper 似乎是使用以前独立的工具(例如 Crucio 勒索软件和 FlockWiper 磁盘擦除器)构建的,并封装在一个统一的框架中。

基于恶意软件的特征,包括间谍功能(屏幕捕获、类似 VNC 的远程控制、系统清单)和多种不可逆转地破坏数据的方式,它符合想要长期访问但也保留擦除系统的选项的攻击者的模式(如果他们愿意)。

GigaWiper 实现大约 20 个命令,大致分为三类:销毁、远程访问/监控和系统管理。一些示例包括:

  • 原始磁盘擦除器,在强制立即重新启动之前覆盖大块的原始磁盘内容。
  • 伪装成勒索软件的假勒索软件(基于 Crucio)擦除器。它不会要求付款,而是对文件进行加密,然后丢弃加密密钥,从而使恢复变得不可能。
  • Windows 驱动器安全擦除器,以 Windows 安装驱动器为目标,并使用不同的字节模式执行多次覆盖。
  • 屏幕捕获和录制,包括每个显示器的一次性屏幕截图以及用户活动时的连续录制。
  • 通过 TCP(传输控制协议)服务器进行远程控制,该服务器流式传输桌面并在创建自己的 Windows 防火墙例外后允许键盘和鼠标输入。
  • GigaWiper 还设置了一个名为“OneDrive Update”的计划任务,该任务每分钟运行一次并在启动时运行以保持持久性。

    如何保持安全