CERT-UA
Archived: 2026-04-02 11:25:28 UTC
Загальна інформація
Урядовою командою реагування на комп’ютерні надзвичайні події України CERT-UA 17.03.2022 виявлено
декілька ZIP-архівів, один з яких мав назву "Вирус... крайне опасно!!!.zip". Кожен з архівів містить
обфусковану .NET-програму. В результаті проведеного аналізу виявлені програми класифіковано як
DoubleZero - шкідлива програма-деструктор, розроблена з використанням мови програмування C#. Для
знищення файлів використовує два способи: перезапис файлів нульовими блоками по 4096 байт (метод
FileStream.Write) або ж за допомогою API-викликів NtFileOpen, NtFsControlFile (код:
FSCTL_SET_ZERO_DATA). Спочатку здійснюється перезапис всіх несистемних файлів на всіх дисках.
Після цього складається перелік системних файлів за маскою, здійснюється їхнє сортування та подальший
перезапис у відповідній послідовності. Надалі знищуються гілки реєстру Windows: HKCU, HKU, HKLM,
HKLM\BCD. Насамкінець комп'ютер вимикається.
Активність відстежується за ідентифікатором UAC-0088 та має безпосереднє відношення до спроб
порушення штатного режиму фунціонування інформаційних систем українських підприємств.
Індикатори компрометації
Файли:
36dc2a5bab2665c88ce407d270954d04 d897f07ae6f42de8f35e2b05f5ef5733d7ec599d5e786d3225e66ca605a48f53
989c5de8ce5ca07cc2903098031c7134 8dd8b9bd94de1e72f0c400c5f32dcefc114cc0a5bf14b74ba6edc19fd4aeb2a5
7d20fa01a703afa8907e50417d27b0a4 3b2e708eaa4744c76a633391cf2c983f4a098b46436525619e5ea44e105355fe
b4f0ca61ab0c55a542f32bd4e66a7dc2 30b3cbe8817ed75d8221059e4be35d5624bd6b5dc921d4991a7adc4c3eb5de4a
Графічні зображення:
https://cert.gov.ua/article/38088
Page 1 of 2

Source: https://cert.gov.ua/article/38088
https://cert.gov.ua/article/38088
Page 2 of 2