Il 17 marzo 2022, il team governativo che rispondeva alle emergenze informatiche in Ucraina CERT-UA ha scoperto diversi archivi ZIP, uno dei quali era chiamato “Virus … estremamente pericoloso !!!. Zip“. Ciascuno degli archivi contiene un programma .NET offuscato. Come risultato dell’analisi, i programmi identificati sono classificati come DoubleZero, un programma di distruzione dannoso sviluppato utilizzando il linguaggio di programmazione C#. Utilizza due metodi per distruggere i file: sovrascrivere i file con zero blocchi di 4096 byte (metodo FileStream.Write) o utilizzare chiamate API NtFileOpen, NtFsControlFile (codice: FSCTL_SET_ZERO_DATA). Innanzitutto, tutti i file non di sistema su tutti i dischi vengono sovrascritti. Dopodiché viene compilato l’elenco dei file di sistema su una maschera, viene effettuato il loro ordinamento e la successiva riscrittura nella sequenza corrispondente.
Successivamente, i rami del registro di Windows vengono distrutti: HKCU, HKU, HKLM, HKLM \ BCD e alla fine, il computer si spegne.
L’attività è tracciata dall’identificatore UAC-0088 ed è direttamente correlata ai tentativi di violare la normale modalità di funzionamento dei sistemi informativi delle imprese ucraine.
