今天,卡巴斯基实验室的专家报告说,发现了一种新的复杂恶意软件,该恶意软件会破坏受害者计算机上的所有数据。 名为StoneDrill的恶意软件,它不仅从硬盘驱动器中删除信息,而且还监视受害者。 同样,该程序可以从防病毒产品配备的检测工具中隐藏。
据卡巴斯基实验室专家称,StoneDrill与另一种病毒非常相似,该病毒在2012年对用户和公司计算机造成了很大的伤害。 这是一个
Shamoon程序 (也称为Disttrack)。 仅在中东的石油和天然气公司沙特阿美,这种病毒设法破坏了大约3.5万台计算机的工作。 感染后仅十天便有可能恢复该组织的正常运作。 尚不清楚其他公司和地区感染了多少恶意软件的计算机。
由于对公司运营的巨大打击,造成了巨大损失,不仅影响了沙特阿拉伯,而且影响了整个石油和天然气行业的工作。 在此事件发生后不久,Shamoon开发人员立即停止了活动,该病毒的传播也变得无效。
据卡巴斯基实验室的专家称,现在,一种类似的病毒已经出现,它配备了许多扩展软件功能的附加模块。
的确,请考虑Shamoon和StoneDrill相同病毒的不同版本。 事实是他们的工作原理仍然不同。 该软件的一个共同特征是可以隐藏防病毒软件。 卡巴斯基实验室本身能够通过使用用于检测为检测Shamoon而创建的针对性攻击的一些规则来检测该病毒,而这已经是第二个版本。 事实是,Shamoon去年返回并再次开始攻击沙特阿拉伯公司的计算机。 为了检测Shamoon 2.0,开发了特定的检测工具,信息安全专家借助这些工具发现了迄今为止未知的另一种恶意软件。 这是StoneDrill。
该病毒本身已被检测到,但是其工作的许多细节仍然未知。 例如,这是一种传播恶意软件的方法。 但是,专家们能够找到StoneDrill如何被防病毒软件所忽视。 为此,使用了两种反仿真技术,这些技术可以使病毒避免通过行为进行检测。 当受害者进入受害者的PC时,StoneDrill将立即集成到该计算机的主要浏览器的存储过程中。 之后,病毒开始破坏硬盘驱动器上的文件并监视受害者。 卡巴斯基实验室的员工能够检测出四台服务器,攻击者可以通过这些服务器进行监视。
分析文件中的一小段恶意软件代码至于Shamoon和StoneDrill之间的相似之处,该恶意软件具有很多相似之处,尽管据人们判断,是由不同的团队完成的。 区别在于,在Shamoon代码中存在阿拉伯语的也门版本,而在StoneDrill中找到了波斯语。 由此,网络安全专家
建议 ,可能对最大程度地破坏沙特阿拉伯公司造成损害的伊朗和也门开发人员正在开发恶意软件。 事实是,在这个地区,石钻和沙吞袭击的受害者人数最多。 但这只是一个假设,可能没有任何实际依据。 同时,沙特当局
指责伊朗发动袭击。
经过详细分析,卡巴斯基实验室的员工
能够使用Shamoon和StoneDrill找出攻击的一些重要细节:
- 勒索软件模块已添加到Shamoon 2.0。 该模块仍处于非活动状态,但是攻击者可以随时将其激活。
- Shamoon是其新版本,它没有用于与命令服务器通信的模块,但是恶意软件的先前版本包括此模块。
- 如上所述,StoneDrill使用浏览器内存来访问受害者的计算机。 但是Shamoon与司机合作。
StoneDrill之间的一个重要区别是,该病毒是在一个未具名的欧洲组织的计算机网络受到攻击时发现的。 因此,该恶意软件可以由一个团队开发,该团队不仅关注沙特阿拉伯,而且关注欧洲。
卡巴斯基实验室指出,StoneDrill的活动与另一种
恶意软件NewsBeef的相似之处 。 这种病毒长期以来一直在攻击沙特阿拉伯组织的计算机和计算机网络。 该公司的专家认为,Shamoon可以成为短期使用的有效工具,而NewsBeef和StoneDrill是长期使用的工具。
卡巴斯基实验室计划在2017年4月2日至6日举行的
卡巴斯基安全分析师峰会上详细介绍这一新威胁。