Se detectó por primera vez a las 11:38 a. m. hora local (9:38 a. m. UTC)
del lunes 14 de marzo. El wiper, que destruye los datos de los usuarios
y de las unidades conectadas, se detectó en varias docenas de sistemas
en un número limitado de organizaciones. Los productos ESET detectan
este malware como Win32/KillDisk.NCX.
SABÍAN QUE----
CaddyWiper, el malware destructivo que anteriormente se dirigía a organizaciones ucranianas, usó "DsRoleGetPrimaryDomainInformation" para determinar si el dispositivo en el que se ejecuta es el controlador de dominio.
Otras familias de malware que utilizan esta técnica:
-TrickBot
-Laberinto ransomware
DsRoleGetPrimaryDomainInformation (dsrole.h)
La función DsRoleGetPrimaryDomainInformation recupera datos de estado para la computadora. Estos datos incluyen el estado de la instalación del servicio de directorio y los datos del dominio.
Sintaxis
C++
DWORD DsRoleGetPrimaryDomainInformation(
[in] LPCWSTR lpServer,
[in] DSROLE_PRIMARY_DOMAIN_INFO_LEVEL InfoLevel,
[out] PBYTE *Buffer
);
ESPERO LES SIRVA..... #share.
