新型 Lotus 数据擦除器被用于攻击委内瑞拉能源和公用事业公司

一款此前未被记录、名为Lotus的数据擦除恶意软件，在去年被用于针对委内瑞拉能源和公用事业组织的定向攻击。

该恶意软件于去年12月中旬从委内瑞拉的一台机器上传至一个公共平台，并已被卡巴斯基的研究人员分析。

在破坏阶段之前，攻击者依赖两个批处理脚本，通过削弱防御和阻碍正常运作为最终载荷准备系统。

研究人员称，Lotus数据擦除恶意软件旨在通过覆盖物理驱动器并消除恢复选项，彻底摧毁受感染系统。

卡巴斯基在今日的一份报告中表示："该擦除器会移除恢复机制、覆盖物理驱动器内容、系统性地删除受影响卷上的文件，最终使系统处于无法恢复的状态。"

考虑到时间点，观察到的活动与当时该地区的地缘政治紧张局势相吻合，该局势在2026年1月3日委内瑞拉时任总统尼古拉斯·马杜罗被捕时达到顶峰。

2025年12月中旬左右，委内瑞拉国家石油公司遭遇网络攻击，致使其交付系统瘫痪。该公司指责美国应对此事件负责。

需要指出的是，目前没有公开证据表明PDVSA的系统在此次攻击中被擦除，也没有关于此次攻击性质的详细信息。

初步活动

卡巴斯基的报告指出，攻击始于执行一个批处理脚本（OhSyncNow.bat），该脚本会禁用Windows的‘UI0Detect’服务，并执行XML文件检查以协调域内系统的执行。

当满足特定条件时，会执行第二阶段的脚本（notesreg.bat）。它会枚举用户、通过更改密码禁用账户、注销活动会话、禁用所有网络接口并停用缓存的登录信息。

随后，恶意代码会枚举驱动器并运行‘diskpart clean all’命令，用零覆盖它们。卡巴斯基还发现，它使用‘robocopy’覆盖目录内容。

在下一阶段，它会计算可用空间并使用‘fsutil’创建一个填满磁盘的文件，使得被擦除的数据更难恢复。

在为数据销毁准备好环境并自行执行一些擦除操作后，该批处理脚本会解密并执行Lotus擦除器作为最终载荷。

Lotus擦除器的部署

Lotus擦除器在更底层运行，通过IOCTL调用与磁盘交互，检索磁盘几何结构、清除USN日志条目、擦除还原点，并覆盖物理扇区（而不仅仅是逻辑卷）。

该恶意软件执行多项操作，总结如下：

• 在其令牌中启用所有权限，以获得管理员级别的访问权限。
• 使用Windows系统还原API删除所有Windows还原点。
• 通过检索磁盘几何结构并用零覆盖所有扇区来擦除物理驱动器。
• 清除USN日志以移除文件系统活动的痕迹。
• 通过将文件内容置零、随机重命名并删除它们（或如果被锁定则安排在重启时删除）来删除文件。
• 多次重复驱动器擦除和还原点删除的循环。
• 在最终擦除后，使用IOCTL_DISK_UPDATE_PROPERTIES更新磁盘属性。

卡巴斯基建议，系统管理员应监控NETLOGON共享更改、UI0Detect操作、大规模账户更改以及网络接口禁用等前兆活动。

他们表示，‘diskpart’、‘robocopy’和‘fsutil’的意外使用也是危险信号。

针对擦除器和勒索软件的一般性建议是，保持定期离线备份，并经常验证其可恢复性。