Microsoft нашла Windows-бэкдор GigaWiper: он объединяет вайперы и шифровальщик-вымогатель в одном модуле

Команда Microsoft Threat Intelligence обнаружила деструктивный бэкдор для Windows под названием GigaWiper, впервые его заметили в атаках ещё в октябре 2025 года. Инструмент написан на языке Go и объединяет в единый модульный пакет компоненты сразу трёх ранее отдельных вредоносных семейств: шифровальщика-вымогателя Crucio, переписанной на Go версии вайпера FlockWiper и самостоятельного инструмента для уничтожения содержимого дисков. По оценке Microsoft, это заметный сдвиг в развитии вайперов, обычно такие программы создаются исключительно для разрушения данных, а не для вымогательства с реальными последствиями для жертвы.
Исследователи выделили два типа образцов. Первый, отдельный вайпер, который работает на уровне физического диска: перезаписывает его содержимое, стирает метаданные разделов и принудительно перезагружает систему через штатную функцию завершения работы Windows. Второй, полноценный бэкдор с функциями командного сервера (C2), объединяющий множество деструктивных возможностей: стирание диска, закрепление в системе, получение команд через протокол AMQP по сети сообщений RabbitMQ и передачу статуса выполнения через Redis. Команды бэкдора разбиты на категории: режим «always run» с постоянной записью экрана, «manage command» для управления системой, «special command» и «shell command» для выполнения команд.
Среди деструктивных возможностей, команда на основе шифровальщика Crucio, которая шифрует файлы случайно сгенерированными ключами AES-256 в режиме CBC (Cipher Block Chaining); эти ключи нигде не сохраняются, из-за чего жертва не может расшифровать файлы в принципе, даже заплатив выкуп. Бэкдор также умеет отключать функции восстановления Windows и принудительно вызывать «синий экран смерти» (BSOD), выгружать файлы на удалённое хранилище через клиент MinIO, выполнять команды PowerShell, делать скриншоты и записывать видео с экрана, собирать сведения о системе, очищать журналы событий Windows и удалённо управлять заражённым компьютером, вплоть до эмуляции клавиатуры и мыши.
По словам Microsoft, эти находки показывают, как со временем эволюционировал инструментарий злоумышленников: разрозненные функции были объединены в единый мощный бэкдор, что даёт атакующим больше способов контролировать заражённые системы и уничтожать на них данные. Подробности о масштабе и объёме атак с использованием GigaWiper компания предоставить The Register отказалась.
Ключевые факты
- Microsoft обнаружила бэкдор GigaWiper, написанный на Go и впервые замеченный в атаках в октябре 2025 года
- Инструмент объединяет три вредоносных семейства: шифровальщик Crucio, Go-версию вайпера FlockWiper и отдельный дисковый вайпер
- Шифрование файлов идёт случайными ключами AES-256-CBC, которые нигде не сохраняются, расшифровка невозможна даже теоретически
- Бэкдор управляется через RabbitMQ/AMQP и Redis, умеет вызывать BSOD, чистить журналы событий, красть файлы через MinIO и удалённо управлять системой
- Microsoft отказалась раскрыть The Register масштаб и число пострадавших от атак с GigaWiper организаций
Почему это важно
GigaWiper, редкий пример гибрида: обычно вайперы пишут исключительно ради разрушения данных, без цели вымогательства, а шифровальщики-вымогатели рассчитаны на выкуп с реальной возможностью расшифровки. Здесь злоумышленники объединили оба подхода в одном модульном бэкдоре и добавили полноценный командный сервер поверх этого, по оценке Microsoft, это показывает, как атакующие со временем консолидируют разрозненные инструменты в один более мощный.
Кому это важно
В первую очередь, командам реагирования на инциденты (incident response) и специалистам по безопасности в организациях, чья инфраструктура работает на Windows: GigaWiper способен не просто зашифровать, а безвозвратно уничтожить данные на заражённых машинах. Важно это и аналитикам угроз, которые отслеживают эволюцию инструментария атакующих групп.
Как это применить
Защитникам стоит обращать внимание на индикаторы из отчёта: сетевую активность через RabbitMQ (AMQP) и Redis как канал управления, использование клиента MinIO для выгрузки украденных файлов, а также нетипичное для обычных шифровальщиков поведение, принудительные перезагрузки, вызовы BSOD и отключение функций восстановления Windows. Наличие таких признаков указывает не на рядовой шифровальщик, а на деструктивную атаку без цели реального восстановления данных жертвой.
Можно ли доверять
Источник информации, команда Microsoft Threat Intelligence, один из наиболее авторитетных поставщиков данных об угрозах, а материал опубликован The Register со ссылкой на прямые формулировки Microsoft, включая техническое описание команд и цитаты представителей компании. При этом сама Microsoft отказалась раскрыть изданию масштаб атак и число пострадавших организаций, так что полной картины распространения GigaWiper пока нет.
Риски и подводные камни
Главный риск, необратимость: поскольку ключи шифрования Crucio нигде не сохраняются, расшифровка файлов невозможна в принципе, даже если жертва решит заплатить выкуп. Это значит, что традиционные стратегии реагирования на шифровальщики (переговоры, оплата, восстановление по ключу) в случае GigaWiper не работают, единственная защита, резервное копирование и своевременное обнаружение вторжения до активации деструктивных команд.
«В целом эти находки показывают, как со временем эволюционировал инструментарий злоумышленника: разрозненные функции были объединены в единый мощный бэкдор, что даёт атакующему больше способов контролировать заражённые системы и уничтожать их.»
— Microsoft Threat Intelligence