【資安】曾攻擊全球最大石油公司Shamoon/Disttrack 磁碟清除病毒,出現了新變種:你需要知道什麼

2012年全球最大石油公司遭駭 75%電腦受感染, 資安專家分析,造成3萬部電腦受影響的就是Shamoon病毒。2016年媒體報導沙烏地阿拉伯遭到「國家級」駭客攻擊 ,Shamoon 惡意程式出現升級版,攻擊沙國數個政府機關。近日趨勢科技看到了惡名昭彰的磁碟清除病毒Shamoon(又稱Disttrack)出現更新版本的報導。同時也發現了好幾個此版本Shamoon 的樣本(趨勢科技偵測為Trojan.Win32.DISTTRACK.AA和 Trojan.Win64.DISTTRACK.AA)。雖然無法確認此版本的病毒是否真的有在外面散播,但我們正在分析此病毒來確認其功能,因為它所可能帶來的破壞性影響。

趨勢科技的趨勢科技XGen™ 防護透過主動式技術(如行為分析和高保真機器學習)能夠保護使用者和企業不會遭受此磁碟清除病毒影響。以下是使用者和企業關於最新的Shamoon病毒所需要知道的資訊:

Shamoon/Disttrack磁碟清除病毒出現了新變種:你需要知道什麼
Shamoon/Disttrack磁碟清除病毒出現了新變種:你需要知道什麼

什麼是Shamoon/Disttrack

Shamoon(或稱Disttrack)蠕蟲是種磁碟清除病毒。它會覆蓋掉受感染電腦內的檔案,同時會感染主開機紀錄(MBR)。它的第一代會覆蓋掉文件、圖像、影片和音樂檔,清除MBR並換成燃燒旗幟的圖檔。第二代使用的是張有名的難民照片。

新版本的Shamoon似乎具備相同的MBR清除功能。而據報跟之前刪除替換檔案的版本不同的是,這次有不可逆轉的加密檔案功能。它似乎也缺少一些元件,例如用於網路橫向移動及命令和控制(C&C)通訊的預設憑證。我們還在進行分析中,一旦有更新資訊就能夠加以確認。

 

這新版本的Shamoon/Disttrack有實際在外散播嗎?

根據報導,一個包含最新版 Shamoon的檔案從義大利上傳到VirusTotal。我們並沒有發現任何跡象顯示此版本的Shamoon有在外擴散。

繼續閱讀