DoubleZero IOC

DoubleZero - это вайпер на базе .NET, который уничтожает файлы, ключи реестра на зараженной узле.

Сначала вредоносная программа проверяет, является ли текущий узел одним из контроллеров домена. Если название конечного узла найдено, wiper просто прекращает выполнение.

Его цель - перезаписать все файлы на всех дисках, кроме определенного, жестко закодированного, списка. Вредоносная программа намерена сначала уничтожить несистемные файлы, а затем файлы, связанные с системой. Уничтожение файлов, относящихся к системе, в то время как перезапись других файлов еще не завершена, может привести к нестабильной работе системы и ее блокировке до полного уничтожения файлов пользователя. В таких случаях можно восстановить файлы с диска, которые еще не были перезаписаны.

Indicator of compromise

SHA-256

  • d897f07ae6f42de8f35e2b05f5ef5733d7ec599d5e786d3225e66ca605a48f53
  • 8dd8b9bd94de1e72f0c400c5f32dcefc114cc0a5bf14b74ba6edc19fd4aeb2a5
  • 3b2e708eaa4744c76a633391cf2c983f4a098b46436525619e5ea44e105355fe
  • 30b3cbe8817ed75d8221059e4be35d5624bd6b5dc921d4991a7adc4c3eb5de4a
Добавить комментарий