早在2012年卡巴斯基實驗室已開始研究wiper型惡意程式Shamoon,曾經襲擊沙特石油公司,影響3萬個工作台,公司花一星期時間重新啟動IT系統。經過5年時間,研究人員發現新版本Shamoon 2.0出現,而且與另一款相似功能的惡意程式StoneDrill突然出現,配備更先進的技術,並且將魔爪伸向沙特以外的國家。
所有裝置同日「病發」無法運作
Shamoon 2.0的功能與前期版本相似,每次攻擊不同目標都做足準備功夫,收集目標系統的管理權限,並利用權限在公司系統內繼續散播及感染其他裝置。惡意程式會在預設的日子中「病發」,受害者的電腦會完全無法運作,同時加入勒索軟件的功能,該病毒現時仍然集中針對沙特阿拉伯的重要或金融機構。
在分析Shamoon 2.0的時候,研究人員有更多發現,一款從未發現的惡意程式StoneDrill。StoneDrill與Shamoon同樣是wiper型惡意程式,功能有部份相同,但是它並不限於攻擊沙特阿拉伯企業,至少已有一家歐洲企業「中招」,並且採用了多種技術協助惡意程式避開偵測,大部份技術都是針對「沙盒」的模擬技術病毒偵測,更利用記憶體感染用戶的瀏覽器。
高隱藏性難以偵測
StoneDrill的危險之處,是其極高的隱藏能力,研究人員在追查另一款惡意程式時意外發現,Shamoon 2.0在2016年11月開始病發,StoneDrill因為無需使用研盤就能進入破壞階段,使它的成功率更高,研究人員要透過逆向工程才能夠抓住它的狐狸尾巴。
