Нули вместо данных и заблокированные сети. В сети нашли вирус для атак на энергетику
Файлы опасного вируса-уничтожителя попали в открытый доступ спустя месяцы после атаки.
В Венесуэле обнаружили новый вирус-уничтожитель Lotus Wiper, нацеленный на энергетику и коммунальный сектор. Связанные с атакой файлы опубликовали в открытом доступе в декабре 2025 года. Программа не требует выкуп и не шифрует данные. Задача другая: полностью стереть информацию и вывести системы из строя без возможности их восстановить.
Согласно отчету Лаборатории Касперского, Lotus Wiper оказался частью более сложной цепочки. Два сценария сначала готовят систему к атаке. Они отключают защитные механизмы, завершают сеансы пользователей, блокируют сетевые интерфейсы и меняют пароли учётных записей. Затем вредонос запускает команды, чтобы полностью затереть диски, и дополнительно заполняет свободное место мусорными данными.
Прежде чем активировать основную нагрузку, сценарии проверяют наличие специального файла в сетевой папке NETLOGON. Такой файл служит сигналом, чтобы одновременно запустить атаку на всех машинах в домене. Подход указывает на заранее подготовленный доступ к инфраструктуре.
Финальный модуль Lotus Wiper удаляет точки восстановления Windows, затем несколько раз перезаписывает содержимое физических накопителей нулями. Параллельно программа проходит по всем томам, затирает файлы, переименовывает их случайным образом и удаляет. Если удалить файл сразу не удаётся, вредонос планирует удалить его при перезагрузке. Дополнительно очищается журнал изменений, чтобы скрыть следы.
Анализ показал, что вредонос собрали в сентябре 2025 года, а применили спустя несколько месяцев. Код рассчитан на старые версии Windows – это свидетельствует о хорошем знании инфраструктуры жертвы. Такой тип атак направлен не на деньги, а на разрушение.