GigaWiper: бекдор Windows шпигує, стирає диски й імітує ransomware

Microsoft описала GigaWiper — бекдор Windows зі шпигуванням, псевдовимагачем і незворотним стиранням дисків. Перевірте індикатори та порядок реагування.

GigaWiper розколює жорсткий диск як символ незворотного стирання даних у Windows.

Microsoft Threat Intelligence описала GigaWiper — бекдор для Windows, який може стежити за скомпрометованою системою, а потім знищити її за командою оператора. Шкідник записує екран, дає віддалений контроль мишею та клавіатурою, викрадає файли, очищає журнали подій, шифрує дані без збереження ключа або повністю стирає фізичні диски. Це не вразливість Windows, яку можна просто закрити патчем: GigaWiper запускають уже після проникнення, тому збіг артефактів вимагає ізоляції пристрою та розслідування.

Чим GigaWiper відрізняється від звичайного вайпера

GigaWiper об’єднує кілька старіших руйнівних інструментів усередині одного бекдора, написаного мовою Go. Замість окремих модулів для шпигування, ransomware і стирання диска оператор може обрати потрібну дію вже після отримання доступу. Тому перший видимий симптом не показує, чим завершиться атака.

МожливістьПрактичний наслідок
Стеження і віддалений контрольРобить знімки, записує активні екрани, збирає дані про систему та відкриває VNC-подібний сеанс для керування мишею й клавіатурою.
Викрадення файлівВикористовує клієнт MinIO, щоб передавати вибрані файли до сховища зловмисників.
ПсевдовимагачШифрує файли, додає розширення .candy і змінює шпалери. Один руйнівний режим не зберігає створений ключ, тому оплата не може дати дешифратор.
Стирання дисківМоже видаляти метадані розділів і перезаписувати фізичні диски або багаторазово перезаписувати диск Windows.

Microsoft уперше побачила руйнівну активність у скомпрометованих середовищах у жовтні 2025 року. Окремий аналіз Binary Defense, опублікований у червні 2026 року, описує ті самі чотири хеші бекдора під назвою BLUERABBIT і повідомляє про ймовірні атаки на організації в Ізраїлі. Microsoft у звіті про GigaWiper не називає країну чи конкретного актора, тому атрибуцію не варто вважати остаточною.

Кому потрібно реагувати

Публічні дані вказують на цільові атаки проти організацій, а не на масову кампанію проти домашніх користувачів. Захисникам мережі варто розпочати перевірку, якщо збігаються відомі хеші або інфраструктура, якщо нібито OneDrive-завдання запускає невідомий файл щохвилини, або якщо робочі станції несподівано підключаються до RabbitMQ, Redis чи MinIO.

Звичайний OneDrive також може створювати легітимні завдання та записи реєстру. Назва сама по собі не доводить зараження. Перевірте шлях і цифровий підпис виконуваного файлу, час створення завдання, хеш, мережеві з’єднання та інші індикатори на тому самому комп’ютері.

Індикатори GigaWiper, які варто перевірити

ІндикаторЧому він важливий
Завдання OneDrive UpdateДосліджений бекдор запускав його щохвилини та під час старту системи. Перевіряйте дію і шлях, а не видаляйте всі схожі завдання.
HKCU\SOFTWARE\OneDrive\EnvironmentGigaWiper використовував цей ключ реєстру для обліку запусків. Зіставте його із завданням і файлом.
185.182.193[.]21 і 212.8.248[.]104Microsoft наводить ці адреси як командну інфраструктуру GigaWiper.
Розширення .candyЗ’являється після руйнівної команди псевдовимагача; придатного ключа розшифрування може не існувати.
Неочікувана робота takeown, icacls або wevtutilШкідник може змінювати власника завантажувальних файлів і очищати журнали подій Windows.
Виявлення Defender для GigaWiper, Wiper, FlockWiper або CutBroochMicrosoft перелічує ці назви захисту й пов’язані сигнали ransomware-поведінки.

Повний перелік SHA-256 є у звіті Microsoft. Збіг хешу корисний, але відсутність збігу не виключає перезібраний зразок або інший руйнівний інструмент із подібною поведінкою.

Що робити, якщо індикатори збігаються

  1. Ізолюйте комп’ютер. Від’єднайте Ethernet, Wi-Fi, VPN і доступ до спільних сховищ. Не змінюйте паролі на цьому пристрої.
  2. Збережіть докази до очищення. Запишіть дію scheduled task, шлях до файлу, хеші, активного користувача, мережеві з’єднання та часову шкалу сповіщень. Для корпоративного пристрою залучіть відповідального за incident response до перезавантаження чи видалення артефактів.
  3. Заблокуйте відому інфраструктуру та перевірте інші вузли. Шукайте дві опубліковані IP-адреси й нетипову клієнтську активність робочих станцій у firewall, proxy, EDR, RabbitMQ, Redis і MinIO логах.
  4. Захистіть резервні копії. Від’єднайте backup-сховища від скомпрометованих облікових даних, перевірте незмінні або офлайн-копії та тестуйте відновлення в чистій мережі.
  5. Перевстановіть систему, якщо довіру втрачено. Після підтвердження запуску GigaWiper або руйнівних команд розгорніть чистий образ і змініть потенційно викрадені паролі з іншого пристрою. Звичайне очищення не доводить, що дані не викрали й віддаленого доступу не було.

На некерованому домашньому ПК повна перевірка Gridinsoft Anti-Malware може допомогти знайти пов’язані файли й механізми закріплення, але не відновить стерті дані та не замінить форензичне розслідування. Для планування резервного копіювання й відновлення скористайтеся гайдом щодо програм-вимагачів.

Чому фальшивий ransom-екран змінює реакцію

Звичайним ransomware-операторам потрібен робочий шлях розшифрування, щоб продавати ключ. Руйнівний режим GigaWiper із розширенням .candy може створити випадковий ключ і втратити його. Зовні це нагадує атаку вимагача, але домовлятися нема про що й отримати ключ неможливо. Реагуйте як на саботаж і повний компроміс, а не лише як на проблему відновлення файлів.

Подібна різниця важлива і для інших інцидентів. Наприклад, Avalon і CrownX поєднують крадіжку даних, віддалений доступ і ransomware-етап, тоді як GigaWiper може перейти від шпигування до незворотного стирання. Офлайн-копії, окремі облікові дані для відновлення та швидка ізоляція важливіші за текст на екрані жертви.

Джерела

  1. Microsoft Threat Intelligence. “GigaWiper: Anatomy of a destructive backdoor assembled from multiple malware.” Microsoft Security Blog, 9 липня 2026 року. звіт Microsoft.
  2. Ross Bunker. “BLUERABBIT: A Golang-Based Backdoor with Ransomware and Destructive Capabilities.” Binary Defense ARC Labs, 9 червня 2026 року. аналіз Binary Defense.

Пишу про те, як зробити життя онлайн комфортним і безпечним. Вірю, що сучасний цифровий світ вартий того, щоб бути його частиною.