为什么一个挂着“备份任务”名字的进程,突然就让整个公司所有电脑蓝屏,连恢复控制台都进不去了?微软安全团队拿到的样本显示,这不是勒索信,没有留任何赎金邮箱,文件全被塞进一个叫“.candy”的扩展名,而解密密钥——从一开始就不存在。2025年10月,微软首次在客户环境中侦测到这种大面积磁盘清洗,随后将它命名为GigaWiper。它不是单一功能的破坏程序,而是一个把擦除磁盘、伪装加密、后门操控打包在一起的Golang植入体,用到的通讯组件甚至包括RabbitMQ和Redis。以下就把它拆成五条,看看为什么这一轮攻击比你们熟悉的勒索软件狠得多。
一、磁盘清洗:不删文件,直接炸了文件系统的地基
传统硬盘擦除工具顶多就是填零,但这套恶意代码的操作顺序更粗暴。它执行的“主擦除命令”会先扫描所有物理驱动器,找出哪块磁盘上装着当前的Windows安装。接着,它不仅不碰单个文档,反而从分区表动手——它直接把其他磁盘的分区引用记录抹掉,然后用大块数据覆盖磁盘的原始内容区域。这种覆盖根本不关心你存的是PPT还是财务数据库,它攻击的是操作系统理解和访问数据的底层结构。最后一步是强制重启。你会发现Windows引导配置已经认不出磁盘,甚至BIOS阶段磁盘识别都可能出问题。原始内容被覆盖后,哪怕你把硬盘拆下来送进专业恢复实验室,能找回的也只是碎得不能再碎的无意义字节。这个阶段没有赎金提示,没有任何交互窗口,它纯粹就是为了让业务中断而设计的。
二、伪加密骗局:给你一个勒索软件的错觉,实际上连赎金的机会都省了
第二个破坏指令走的是“看上去像加密勒索”的路数。它会用一组随机生成的加密材料来编码文件,问题是这组材料用完即扔,根本不保存。文件加密完毕后,扩展名会被统一改成.candy,过程很像典型的勒索攻击。但微软报告里明确提到,执行这条命令时没有生成赎金记录,也没有留下任何用于解密的密钥线索。受害者按常规勒索事件处理,开始评估要不要支付赎金时,才会发现哪怕把攻击者找来,数据也回不来了。这种欺骗性在于它利用了安全团队的惯性思维——先想谈赎金、找解密工具,但这里根本没有谈判窗口。这种“无法恢复的假勒索”直接抹消了常见的应急处置路线,同时还会拖慢事件响应速度,因为响应人员一开始很可能以为自己面对的是可以协商的加密攻击,而不是永久性数据销毁。
三、自毁系统引导:连日志一并清空,让应急响应团队直接摸黑
除了直接清洗数据,植入体还会专门破坏Windows的启动能力。它会删除恢复分区的文件、引导文件和内核相关文件,做到即使磁盘内容未被完全清洗,系统也无法正常引导,甚至安全模式都进不去。与此同时,它能清除Windows事件日志。对应急响应来说,事件日志是分析攻击时间线、排查入侵痕迹最核心的数据来源。一旦日志被清空,又没有了引导环境,调查就像在断电的机房里摸黑翻抽屉。这两项能力叠加起来,就把受害企业推入了一个极度被动的局面:系统大面积中止,而且很难快速搞清楚到底发生了什么。
四、远程控制套件:不只是一次性擦除器,还是一个可以长期驻留的后门
GigaWiper被微软定性为一个“后门”,因为它并不是一上来就执行破坏,而是可以持续驻留、接收指令、执行侦察。它支持的功能包括远程控制、屏幕截图、屏幕录像、命令行执行、系统信息发现,以及修改服务或注册表。操作者可以选择先潜伏,搜集环境的内部拓扑和关键资产,等时机成熟了,再下达毁灭性命令。这种灵活性让它从一个单纯的擦除工具变成长周期入侵中的重要一环——前期用后门铺路,后期用擦除和伪加密完成最终一击。并且,它能通过广播或定向任务来协调多设备之间的行动,也就是说,攻击者可以根据需要同时针对特定几台机器,不用逐一手动入侵。
五、伪装成系统更新:用“OneDrive更新计划任务”和注册表项保活
恶意代码留在系统里的痕迹也做了精心的伪装。它在注册表中创建一个名为OneDrive的注册表键,专门用来跟踪其执行状态。同时,它会建立一个名为“OneDrive Update”的预定任务,这个任务被设置为系统启动时运行并在后续持续触发,确保植入体始终处于活跃状态。在企业网络里,OneDrive相关的名称非常常见,安全工程师扫描任务列表时很容易把它当成微软正常的同步组件而忽略。这种伪装的持续性机制,配合RabbitMQ接收指令、Redis回传状态和输出,让攻击方既能保持对受影响机器的控制,又能在长时间里不被发现。
把这五点放在一起看,GigaWiper代表了一种尽可能压缩受害者反应空间的攻击思路。磁盘清洗直接切断系统可用性,假加密玩弄了安全团队对勒索事件的心理预判,引导和日志的破坏让事后溯源举步维艰,而后门和伪装持久化则把攻击窗口拉得足够长。微软看到的这轮活动是从访问到影响的完整链条,破坏指令不是唯一的载荷,它是一套组合拳里最末端的爆发力。如果你的环境里突然出现陌生的计划任务叫“OneDrive Update”,或是注册表里多了一个毫不相关的OneDrive键,别把它当成同步服务的正常行为——那可能是一把正在等待最后一步命令的数据毁灭器。
热门跟贴