趋势科技的安全研讨团队最近在针对拉丁美洲金融组织的黑客进犯活动中发现了一个名为“KillDisk”硬盘擦除歹意软件的新变种，并正在对其进行更深化的研讨剖析。

开始的剖析标明，这个变种看起来像是另一个歹意软件的滴管组件。其文件途径在歹意软件中进行了硬编码，这意味着它与其装置程序紧密结合，或者是更大程序包的一组成部分。

前期版别的KillDisk被规划为擦除硬盘，以使受感染体系无法正常运转。在2015年针对乌克兰动力部分、银行、铁路、采矿等职业的进犯活动中，它与歹意软件BlackEnergy（漆黑力气）中一起被运用。

BlackEnergy是一款受欢迎的违法软件（即一种使违法活动自动化的歹意软件），流转在俄罗斯的地下络，最早可以追溯到2007年。

在乌克兰进犯事情大约一年后，研讨人员陈述说，开发者现已将KillDisk变成了文件加密勒索软件，影响到Windows和Linux渠道。但就像Petya相同，因为KillDisk会掩盖和删去文件（而且不会将加密密钥存储在硬盘或络上），因而康复已加密的文件是底子不可能的。

趋势科技将这个新变种追寻为“TROJ_KILLDISK.IUB”，它的底子意图在于删去文件和擦除硬盘。依据研讨人员的说法，它会扫描一切的硬盘空间，包含本地的或可移动的。除了以下体系文件和文件夹以外，其他文件都将被删去：

WINNT

Users

Windows

ProgramFiles

ProgramFiles(x86)

ProgramData

Recovery(case-sensitivecheck)

$Recycle.Bin

SystemVolumeInformation

old

PerfLogs

在删去文件后，它会持续擦除硬盘，其间包含读取主引导记载（MBR）并掩盖扩展引导记载（EBR）。

文件删去和硬盘擦除触及掩盖文件和硬盘扇区，这会使得文件以及体系康复变得愈加困难。

一旦文件和分区被删去并被掩盖，歹意软件将测验停止多个进程，这些进程包含：

客户机/服务器运转时子体系（exe）；

Windows发动（exe）；

Windows登录（exe）；

本地安全组织子体系服务（exe）。

这样做很可能会强制受感染设备自行从头发动或迫使受害者从头发动设备。例如，停止csrss.exe和wininit.exe会导致蓝屏死机（BSOD）；停止winlogon.exe将提示受害者再次从头登录；而停止lsass.exe将导致受感染设备自行从头发动。

关于KillDisk这个新变种更多的信息，趋势科技正在进行更深化的研讨剖析。跟着查询的持续，咱们会及时将这些信息进行发布。