Shares

În acest material o să discutăm despre un alt tip de virus, și anume disk wiper malware, o amenințare cibernetică ce șterge irecuperabil datele de pe sistemele pe care le infectează.

Malware-ul de tip „disk wiper” este o categorie de software malițios concepută pentru a șterge definitiv datele de pe un sistem, făcând recuperarea acestora imposibilă. Spre deosebire de ransomware, care criptează datele și solicită o răscumpărare pentru decriptare, wiper-ul are ca scop principal distrugerea datelor, adesea în scopuri de sabotaj sau război cibernetic.

Cum funcționează malware-ul de tip “disk wiper”?

Malware-ul de tip “disk wiper” funcționează prin suprascrierea fișierelor, a tabelelor de partiții sau a Master Boot Record (MBR) cu date aleatorii sau predefinite. Această metodă asigură că datele originale nu pot fi recuperate nici măcar cu instrumente forensice avansate. Unele variante mai sofisticate pot dezactiva mecanismele de recuperare ale sistemului.

Ce este MBR si de ce e important:

Master Boot Record (MBR) este o zonă critică aflată la începutul fiecărui hard disk, care conține informații esențiale despre partițiile discului și un mic program de boot care inițiază încărcarea sistemului de operare. Dimensiunea sa este de doar 512 bytes, dar rolul pe care îl joacă în procesul de boot este vital. Dacă această zonă este coruptă sau ștearsă, sistemul nu mai poate porni, iar utilizatorul se confruntă cu erori de tipul “Operating System not found”.

Fiind o țintă preferată pentru wipere, MBR-ul este adesea suprascris cu date fără sens sau complet șters pentru a garanta imposibilitatea pornirii sistemului. Unele variante de malware merg chiar mai departe și suprascriu tabelele de partiții GPT (GUID Partition Table), care înlocuiesc MBR-ul pe sistemele moderne, pentru a distruge complet structura logică a discului.

Tipuri și exemple notabile de malware “disk wiper”:

  • Shamoon – Unul dintre cele mai cunoscute wipere, Shamoon a fost utilizat în atacuri asupra companiei Saudi Aramco în 2012 și 2016, distrugând peste 30.000 de computere. Acesta folosea driverul RawDisk pentru a suprascrie datele și MBR-ul, lăsând sistemele nefuncționale.
  • NotPetya – Lansat în 2017, NotPetya s-a prezentat inițial ca ransomware, dar în realitate era un wiper. A afectat companii multinaționale, cauzând daune estimate la 10 miliarde de dolari.
  • ZeroCleare – A apărut în 2019 și a vizat companii energetice din Orientul Mijlociu. Utiliza driverul EldoS RawDisk pentru a suprascrie partițiile discului și MBR-ul pe sistemele Windows.
  • Meteor – Descoperit în 2021, Meteor a fost responsabil pentru perturbarea serviciilor feroviare din Iran. Acesta putea fi configurat extern și avea capacități precum schimbarea parolelor utilizatorilor și dezactivarea modului de recuperare.
  • WhisperGate – Identificat în 2022, WhisperGate a vizat guvernul ucrainean, defăimând site-uri web și ștergând date esențiale, într-un mod similar cu NotPetya.

Tehnici comune utilizate de wipere:

  • Suprascrierea cu același byte: unele wipere, precum CaddyWiper și KillDisk, suprascriu fișierele cu același byte pe întregul conținut, o metodă simplă dar eficientă.
  • Suprascrierea cu date aleatorii: pentru a preveni orice posibilitate de recuperare, wiperele pot suprascrie fișierele cu date aleatorii, o tehnică utilizată și de unele instrumente forensice pentru ștergerea sigură a datelor.
  • Ștergerea MBR-ului: prin ștergerea Master Boot Record, wiperele pot face sistemul complet nefuncțional, necesitând reinstalarea completă a sistemului de operare.

Măsuri de protecție împotriva wiperelor:

  • Realizarea de copii de rezervă frecvente, stocate offline sau în locații securizate, pentru a preveni pierderea datelor esențiale.
  • Implementarea de firewall-uri și sisteme de detectare a intruziunilor, care contribuie la monitorizarea și blocarea activităților suspecte din rețea.
  • Menținerea sistemelor și aplicațiilor software la zi, pentru a elimina vulnerabilitățile cunoscute exploatate de atacatori.
  • Instruirea periodică a angajaților, astfel încât aceștia să poată recunoaște tentativele de phishing și alte forme de inginerie socială care pot facilita infiltrarea malware-ului.
  • Utilizarea de soluții antivirus performante, capabile să detecteze și să blocheze amenințările avansate, inclusiv wiperele, chiar și pe Linux.
  • Instalarea aplicațiilor doar din surse sigure și verificate, pentru a reduce riscul de infectare cu software malițios.

Concluzie

Un exemplu recent de malware de tip wiper care vizează sistemele Linux a fost descoperit în mai 2025, când cercetătorii au identificat un wiper ascuns în module Go malițioase pe GitHub.

Acest malware era disimulat în module aparent legitime, care erau descărcate automat odată cu proiectele Go ce aveau dependințe compromise. Malware-ul ștergea conținutul directorului “/”, afectând sistemele Linux într-un mod similar cu wiperele clasice.

Malware-ul de tip “disk wiper” reprezintă o amenințare serioasă, având potențialul de a cauza pierderi de date ireversibile și perturbări majore în funcționarea organizațiilor.

Este esențial să înțelegem aceste amenințări și să implementăm măsuri proactive pentru a ne proteja împotriva lor. În același timp, nu trebuie neglijate celelalte categorii de malware, precum troianii (Trojan horse), spyware, adware, scareware, fileless malware, cryptojacking malware și rootkit.

Cunoașterea acestor amenințări și adoptarea unei politici solide de securitate cibernetică reprezintă cheia unei apărări eficiente.

Dacă aveți nevoie de ajutor pentru implementarea securității în companie, vă stăm la dispoziție.

Zemernett este o companie de externalizare IT care reușește cu succes atât să susțină buna funcționare a infrastructurilor, cât și să implementeze soluții tehnice moderne, punând activ umărul la dezvoltarea IT a companiilor client.

Shares