警惕GigaWiper销毁病毒,一款融合多种能力的缝合怪后门
近年网络攻击不再是单一勒索、擦除工具单打独斗,攻击者将多款老牌恶意软件拆解重组,打造出功能全能的“缝合怪”后门GigaWiper。微软2025年10月捕获该威胁样本,安全厂商FreeBuf完整披露其攻击逻辑:这款Go语言编写的Windows后门融合磁盘擦除、假勒索、深度覆写三大销毁模块,搭配20组攻击指令,兼具窃密、远控、日志清除能力,一旦中招,数据将永久无法恢复,政企服务器、办公终端均为高危目标。
不同于传统勒索病毒索要赎金,GigaWiper主打纯粹数据摧毁,甚至制造“假勒索”假象误导受害者付费,双重损害企业资产。其依靠OneDrive伪装持久化机制长期潜伏,常规杀毒软件极易忽略,成为当下最难防御的破坏性恶意程序之一。本文拆解GigaWiper架构、核心攻击手段,给出可落地的检测与防护策略。

一、GigaWiper核心架构:三大老牌恶意软件拼接而成
GigaWiper并非全新开发,而是整合三款成熟销毁工具代码,分为独立擦除器、完整后门两种程序形态。整体采用Go语言开发,反编译难度高,自带完整WMI、加密通信库,恶意代码结构规整,规避简易查杀规则。
1、持久化伪装机制
病毒篡改注册表HKCU\SOFTWARE\OneDrive\Environment,创建名为“OneDriveUpdate”计划任务,每分钟自动唤醒、开机自启。依靠云存储更新程序的天然信任度,躲过管理员人工巡检,注册表数值持续递增,实现长期驻留,常规启动项排查无法识别异常。
2、三大核心销毁模块
(1)物理磁盘擦除模块:源自独立擦除器,遍历所有物理硬盘,清空非系统盘分区表,以10MB分块覆写磁盘,首字节随机、剩余填充零,规避“全零写入”检测,执行后强制重启设备。
(2)Crucio假勒索模块:复用勒索软件加密逻辑,采用AES-CBC加密文件并修改后缀为.candy,密钥生成后直接丢弃,无解密可能。刻意排除exe、dll文件,保证系统持续运行,诱导受害者缴纳赎金却无法恢复数据。
(3)FlockWiper深度擦除模块:仅针对Windows系统盘,交替使用0x00、0xFF、随机字节多轮覆写,对标专业数据销毁标准,彻底销毁系统盘全部数据,设备直接报废。
3、全套攻击指令集
除三大销毁功能外,内置蓝屏破坏、MinIO数据外传、PowerShell执行、屏幕录制、VNC远控、日志清除等20条指令,攻击者通过RabbitMQ+Redis搭建隐蔽C2通道,远程下发指令,一套后门完成渗透、窃密、销毁全流程攻击。
二、GigaWiper攻击难点:缝合式恶意软件为何难以拦截
1、多重伪装降低警觉性:依托OneDrive计划任务、注册表路径伪装,无明显恶意命名,日常运维极易忽视;Go无剥离二进制保留完整符号,普通特征库无法快速匹配变种。
2、销毁行为规避检测:磁盘覆写混入随机字节,规避端点安全针对连续零写入的监控;假勒索不生成勒索信,初期仅文件加密,难以第一时间判定高危病毒。
3、破坏不可逆,损失巨大:磁盘分区表清空、密钥丢弃、多轮覆写三重销毁手段,不存在数据恢复渠道,企业业务文档、数据库、生产资料会永久丢失,假勒索还会造成二次财产损失。
三、企业与个人终端防御、检测实操方案
日常检测指标,快速识别感染迹象
1、计划任务存在不明“OneDriveUpdate”定时任务,每分钟触发。
2、注册表OneDrive环境键数值持续异常递增。
3、磁盘出现大批量无规律写入、文件后缀批量变为.candy。
4、系统事件日志被批量清空、后台出现未知VNC、截屏进程。
多层防御配置,阻断入侵链路
1、终端安全加固:部署EDR终端检测工具,开启磁盘行为监控、计划任务审计;限制普通用户创建定时任务权限,拦截未知Go语言PE程序运行;定期全盘扫描无剥离Go恶意样本。
2、数据备份兜底:严格执行3-2-1备份原则,重要数据本地+异地双备份,备份存储与办公网络物理隔离,定期开展恢复演练,抵御全盘擦除攻击。
3、运维规则管控:禁止随意运行不明exe、压缩包;定期巡检OneDrive相关注册表与计划任务;及时更新系统、安全软件补丁,封堵恶意程序入侵漏洞。
设备中招应急处置
发现感染立刻断开内外网,切断C2通信通道;禁止重启设备避免磁盘覆写;使用离线杀毒模式全盘查杀,删除恶意计划任务与注册表篡改项;隔离主机,通过干净备份恢复业务数据。
GigaWiper代表当前恶意软件“模块化拼接、纯破坏导向、深度伪装”的发展趋势,攻击者不再从零开发病毒,而是复用成熟恶意代码快速打造全能攻击工具。对政企单位而言,仅依靠杀毒软件远远不够,必须建立“行为监测+权限管控+离线备份”的纵深防护体系,定期排查OneDrive相关可疑启动项,提前做好数据容灾,才能抵御此类不可逆的数据销毁攻击。