Вайпер

22 декабря, 2025, 15:11

Вайпер (Wiper, Wiper Malware) — это особый класс разрушительного вредоносного программного обеспечения, основной целью которого является не кража данных или шантаж, а безвозвратное уничтожение, повреждение или приведение в неработоспособное состояние данных и систем на зараженных компьютерах. Вайперы могут также атаковать базовое программное обеспечение (прошивки, загрузчики) и сетевое оборудование, что делает восстановление исключительно сложным или невозможным.

Возможности и характерные особенности вайперов:

  • Безвозвратное уничтожение данных: Использование методов, препятствующих восстановлению:
    • Многократная перезапись файлов случайными данными перед удалением.
    • Целенаправленное шифрование с уничтожением ключей (в отличие от ransomware, где ключ есть у злоумышленника).
    • Повреждение файловой таблицы (MBR, GPT) или самих разделов диска.
  • Атака на программное обеспечение и оборудование:
    • Стирание или перепрошивка микрокода (firmware) устройств: жестких дисков (HDD/SSD), сетевых карт, маршрутизаторов. Это может физически вывести оборудование из строя («кибербомба«).
    • Перезапись загрузочных записей (Bootkits), что делает невозможной загрузку операционной системы даже с внешнего носителя.
  • Механизмы распространения и запуска: Часто используют те же векторы, что и другие угрозы:
    • Эксплойты уязвимостей для удаленного выполнения кода и латерального перемещения по сети.
    • Троянцы и черви для первоначального проникновения.
    • Маскировка под легитимное ПО или обновления системы.
  • Триггеры активации: Могут срабатывать немедленно, по истечению таймера или по удаленной команде с C&C-сервера.
  • Отсутствие финансового мотива (чаще): Вайперы редко требуют выкуп. Их цели обычно политические, идеологические, военные (кибервойна) или акты саботажа для нанесения максимального ущерба, дестабилизации, уничтожения доказательств после другой атаки или демонстрации силы.

Защита от вайперов требует проактивной стратегии: регулярное и изолированное (offline) резервное копирование критичных данных по модели 3-2-1, строгое сегментирование сетей для сдерживания распространения, своевременный патчинг, использование EDR/EPP с поведенческим анализом для блокировки подозрительных действий (массового удаления/шифрования) и детально проработанный план аварийного восстановления (DRP).

Продолжение ниже

Боссы российского кибербеза

Упоминания