To nowe Windows może przejąć kontrolę nad komputerem i całkowicie go wyczyścić

| 10 lipca 2026 r.
To nowe Windows może przejąć kontrolę nad komputerem i całkowicie go wyczyścić

Firma Microsoft opublikowała nowe badania dotyczące GigaWipera – modułowego backdoora napisanym w języku Go dla Windows łączy w sobie niezawodny zdalny dostęp z wieloma sposobami trwałego niszczenia systemów i danych.

GigaWiper to Windows , którego obecność firma Microsoft odnotowuje w ramach ataków od października 2025 roku. Nie jest to narzędzie służące wyłącznie do niszczenia danych, lecz platforma operacyjna łącząca w jednym złośliwym oprogramowaniu funkcje dowodzenia i kontroli (C2), niszczenia danych oraz zdalnego dostępu.

Godne uwagi jest to, że GigaWiper wydaje się być zbudowany przy użyciu wcześniej odrębnych narzędzi, takich jak oprogramowanie ransomware Crucio oraz program do czyszczenia dysków FlockWiper, połączonych w jedną spójną platformę.

Biorąc pod uwagę cechy tego złośliwego oprogramowania, które obejmują funkcje szpiegowskie (przechwytywanie zrzutów ekranu, zdalne sterowanie podobne do VNC, inwentaryzacja systemu) oraz wiele sposobów nieodwracalnego zniszczenia danych, pasuje ono do profilu atakującego, który dąży do uzyskania długoterminowego dostępu, ale jednocześnie zastrzega sobie możliwość wyczyszczenia systemów, jeśli uzna to za stosowne.

GigaWiper obsługuje około 20 poleceń, które można ogólnie podzielić na trzy kategorie: niszczenie, zdalny dostęp/monitorowanie oraz zarządzanie systemem. Oto kilka przykładów:

  • Narzędzie do czyszczenia dysku w trybie surowym, które nadpisuje zawartość dysku w dużych blokach, a następnie wymusza natychmiastowe ponowne uruchomienie systemu.
  • Fałszywe oprogramowanie typu ransomware (oparte na Crucio), które udaje program ransomware. Zamiast żądać okupu, szyfruje pliki, a następnie niszczy klucz szyfrujący, uniemożliwiając ich odzyskanie.
  • Narzędzie do bezpiecznego czyszczeniaWindows , które działa na dysku Windows i dokonuje wielokrotnego nadpisywania danych przy użyciu różnych wzorców bajtów.
  • Zrzuty ekranu i nagrywanie, w tym pojedyncze zrzuty ekranu z każdego monitora oraz ciągłe nagrywanie podczas aktywności użytkownika.
  • Zdalne sterowanie za pośrednictwem serwera TCP (Transmission Control Protocol), który przesyła strumieniowo obraz pulpitu i umożliwia wprowadzanie danych za pomocą klawiatury i myszy po utworzeniu własnych wyjątków Windows .

GigaWiper tworzy również zaplanowane zadanie o nazwie „OneDrive Update”, które uruchamia się co minutę oraz przy uruchomieniu systemu, aby zapewnić trwałość działania.

Serwery służące do zarządzania i kontroli zostały wykryte pod adresem 185.182.193[.]21 oraz 212.8.248[.]104.

Malwarebytes połączenia z serwerem C2
Malwarebytes połączenia z serwerem C2

Narzędzia do zarządzania obejmują menedżery procesów, usług i rejestru, które umożliwiają tworzenie, wyświetlanie listy lub zamykanie procesów, zarządzanie Windows oraz przeglądanie i modyfikowanie kluczy rejestru. Program gromadzi również informacje o systemie, w tym dane dotyczące sprzętu, systemu operacyjnego, sieci, oprogramowania układowego, użytkownika oraz oprogramowania antywirusowego.

Jak zachować bezpieczeństwo

Ponieważ GigaWiper jest wdrażany dopiero po tym, jak atakujący przejęli już kontrolę nad systemem, najlepszym sposobem obrony jest zapobieganie pierwotnemu włamaniu oraz wykrywanie złośliwej aktywności, zanim zniszczeńcze polecenia zostaną wykonane.

Malwarebytes komponenty GigaWiper pod nazwami Trojan.FlockWiper i Backdoor.GigaWiper.

  • W przypadku wykrycia programu GigaWiper należy natychmiast odłączyć zainfekowany komputer od sieci, aby uniemożliwić atakującym wykonanie szkodliwych poleceń.
  • Włącz zabezpieczenie przed manipulacją (lub odpowiednią funkcję w oprogramowaniu zabezpieczającym), aby lokalni administratorzy i złośliwe oprogramowanie nie mogły potajemnie wyłączyć oprogramowania antywirusowego ani innych narzędzi zabezpieczających.
  • Należy monitorować połączenia z znanymi serwerami C2, utworzenie zaplanowanego zadania „OneDrive Update” oraz nieautoryzowane próby wyłączenia Windows .
  • Na koniec należy zmienić dane uwierzytelniające, zwłaszcza w przypadku kont, których bezpieczeństwo mogło zostać naruszone, oraz przeanalizować logi pod kątem eskalacji uprawnień lub przemieszczania się w sieci, aby ustalić, czy problem dotknął również inne systemy.

Nie tylko informujemy o zagrożeniach - my je usuwamy

Zagrożenia cyberbezpieczeństwa nigdy nie powinny wykraczać poza nagłówek. Chroń swoje urządzenia przed zagrożeniami, pobierając Malwarebytes już dziś.

O autorze

Pieter Arntz

Badacz złośliwego oprogramowania

Przez 12 lat z rzędu był Microsoft MVP w dziedzinie bezpieczeństwa konsumentów. Mówi w czterech językach. Pachnie bogatym mahoniem i oprawionymi w skórę książkami.