近期专家们发现了一种数据擦除恶意软件，它会覆盖Windows使用的重要文件，从而破坏Windows域。据报道，该雨刷被俄罗斯沙虫威胁组织使用，被用于最近针对乌克兰目标的袭击。

SwiftSlicer：一种新的擦除器

据ESET报道，Sandworm使用Active Directory组策略启动了SwiftSlicer，该策略允许域管理员在Windows网络中的所有系统中运行脚本和命令。

SwiftSlicer部署的目的是删除卷影副本并覆盖Windows系统目录中的关键文件，尤其是驱动程序和Active directory数据库。

%CSIDL_SYSTEM_DRIVE%\Windows\NTDS文件夹的特定目标意味着擦除器旨在销毁文件，其目的完全是关闭整个Windows域。

擦除器使用4096字节的块覆盖数据，块中填充了随机生成的字节。

完成数据销毁作业后，擦除器会重新启动受感染的系统。

新的擦除器最近已添加到VirusTotal数据库中（1月26日提交）。然而尽管如此，恶意软件扫描平台上还是有超过一半的反病毒引擎发现了它。

数据销毁实用程序的使用

在使用SwiftSlicer的同时，CERT-UA声称Sandworm试图使用国家通讯社Ukriform上的五个数据销毁工具。

这五个数据销毁实用程序分别命名为CaddyWiper（Windows）、ZeroWipe（Windows），SDelete（Windows的合法工具）、AwfulShred（Linux）和BidSwipe（FreeBSD）。

攻击者使用组策略对象（GPO）传播恶意软件，组策略对象是管理员用来在Active Directory中配置操作系统、应用程序和用户设置的一组规则，和SwiftSlicer的方法相同。

结论

在过去的一年中，研究人员在乌克兰观察到了十几起擦除器袭击事件，包括MBR擦除器、IssacWiper、HermeticWiper和其他几起。而最近发现的SwiftSlicer进一步表明，俄罗斯黑客经常使用擦拭器恶意软件变体，在袭击中使用这些破坏性雨刷的目的是在乌克兰造成破坏性的结果。因此，建议各组织保持警惕，并实施深入安全策略，以保护数字基础设施。