Microsoft je objavio detalje o novom destruktivnom Windows malveru koji napadačima omogućava daljinski pristup zaraženim računarima.
Malver pod nazivom GigaWiper napadačima omogućava nadzor nad aktivnostima korisnika i potpuno uništavanje sistema, a istraživači su ga prvi put identifikovali tokom destruktivnih napada zabilježenih u oktobru 2025. godine.
Analiza je pokazala da GigaWiper nije razvijen kao klasičan alat za brisanje podataka, već predstavlja kombinaciju funkcionalnosti preuzetih iz najmanje tri starije porodice malvera, prenosi Informacija.rs.
Nakon instalacije, malver uspostavlja trajni pristup sistemu kreiranjem zakazanog zadatka pod nazivom "OneDrive Update", koji se pokreće prilikom podizanja sistema, a zatim se izvršava svakog minuta.
Komunikacija sa komandno-kontrolnom infrastrukturom odvija se preko RabbitMQ servera, dok se rezultati izvršenih komandi vraćaju putem Redis sistema. Napadači mogu birati između više destruktivnih akcija, u zavisnosti od cilja napada, prenosi B92.
Jedna od komandi briše informacije o particijama, prepisuje sadržaj fizičkih diskova i primorava računar na ponovno pokretanje, dok druga cilja isključivo Windows sistemsku particiju i više puta prepisuje njen sadržaj.
GigaWiper posjeduje i funkciju koja na prvi pogled podsjeća na ransomware. Ona šifruje fajlove i dodaje ekstenziju .candy, ali se ključevi za dešifrovanje generišu nasumično i nikada se ne čuvaju. Za razliku od klasičnih ransomware napada, ne postoji poruka sa zahtjevom za otkup niti mogućnost oporavka podataka.
Microsoft Defender već posjeduje detekcije za GigaWiper i njegove komponente, a kompanija preporučuje aktiviranje zaštite od izmjena bezbjednosnih podešavanja, cloud antivirus zaštite i EDR režima blokiranja, kao i praćenje sumnjivih zakazanih zadataka, promjena u Windows Recovery podešavanjima i neuobičajenih operacija nad diskovima.