Правительственная команда реагирования на компьютерные чрезвычайные события Украины CERT-UA опубликовала предупреждение о распространении вредоносного программного обеспечения (ПО), связанного с попытками взлома информационных систем украинских предприятий.
"Правительственной командой реагирования на компьютерные чрезвычайные события Украины CERT-UA 17 марта 2022 года выявлено несколько ZIP-архивов, один из которых назывался "Вирус... крайне опасно!!!.zip". Каждый из архивов содержит обуфированную .NET-программу. В результате проведенного анализа обнаруженные программы классифицированы как DoubleZero - вредоносная программа-деструктор, разработанная с использованием языка программирования C#", - сообщается в телеграм-канале Государственной службы специальной связи и защиты информации (Госспецсвязи).
Активность указанного ПО отслеживается под идентификатором UAC-0088 и напрямую связана с попытками взлома ИТ-систем украинских компаний.
Для уничтожения файлов используется два способа: перезапись файлов нулевыми блоками по 4096 байт (метод FileStream.Write) или с помощью API-вызовов NtFileOpen, NtFsControlFile (код: FSCTL_SET_ZERO_DATA).
Сначала производится перезапись всех несистемных файлов на всех дисках. После этого составляется список системных файлов по маске, осуществляется их сортировка и последующая перезапись в соответствующей последовательности. В дальнейшем уничтожаются ветви реестра Windows: HKCU, HKU, HKLM, HKLM\BCD. Под конец работы программы компьютер выключается.