NoticiasTecnologia

GigaWiper: malware destrutivo mira Windows

PUBLICIDADE

O GigaWiper é um novo malware para Windows identificado pela Microsoft Threat Intelligence capaz de apagar discos, destruir arquivos, espionar usuários e receber comandos remotos por uma backdoor. Segundo a análise divulgada pela Microsoft, a ameaça combina recursos de famílias já conhecidas, como Crucio, FlockWiper e CutBrooch, formando uma plataforma destrutiva com alto risco para empresas e usuários finais.

Em termos simples: o GigaWiper não apenas invade o computador. Ele pode observar a tela ao vivo, controlar teclado e mouse, criptografar arquivos sem chave de recuperação e apagar unidades de armazenamento.

O que é o GigaWiper e por que ele preocupa

O GigaWiper é classificado como uma backdoor destrutiva. Isso significa que ele permite que operadores externos mantenham controle sobre uma máquina infectada e, quando desejarem, executem comandos de espionagem, coleta de dados ou destruição. A Microsoft afirma ter observado a ameaça pela primeira vez em outubro de 2025, com código escrito em Go, linguagem frequentemente usada por criminosos por facilitar compilação multiplataforma e dificultar algumas análises tradicionais.

PUBLICIDADE

A parte mais grave está na combinação de capacidades. Um malware wiper normalmente busca apagar arquivos ou tornar o sistema inutilizável. Já uma backdoor costuma abrir acesso remoto persistente. O GigaWiper une as duas funções, criando um cenário em que o invasor pode vigiar a vítima antes de acionar a destruição dos dados.

Como o malware apaga arquivos e discos

De acordo com a Microsoft Threat Intelligence, o GigaWiper inclui três mecanismos principais de destruição de dados. O primeiro é um wiper autônomo que sobrescreve dados em modo bruto, trabalhando no nível físico do disco, sem depender apenas da estrutura de arquivos ou das partições.

O segundo módulo se passa por ransomware, mas na prática funciona como destruidor de arquivos. Ele é derivado da família Crucio e criptografa dados sem salvar a chave de descriptografia. Assim, mesmo que a vítima pague ou tente recuperar os arquivos, não há chave disponível para restaurar o conteúdo.

O terceiro componente reaproveita lógica associada ao FlockWiper. Ele consegue apagar a unidade do sistema Windows por meio de um processo de limpeza segura em múltiplas passagens, técnica usada para dificultar a recuperação posterior por ferramentas forenses.

Espionagem ao vivo, tela remota e controle do sistema

Além de destruir dados, o GigaWiper possui recursos avançados de vigilância. A ameaça pode capturar screenshots, gravar vídeo e transmitir a tela do usuário ao vivo. Em alguns comandos, o operador também pode interagir remotamente com teclado e mouse, transformando a máquina comprometida em um ambiente controlável à distância.

O streaming usa comunicação baseada em TCP e tenta se ocultar criando exceções personalizadas no Windows Firewall. Esse detalhe é importante porque mostra que a ameaça não depende apenas de um ataque rápido: ela foi projetada para manter operação remota e reduzir a chance de bloqueio por configurações comuns do sistema.

RecursoRisco principalImpacto
Wiper em modo brutoSobrescreve dados do discoPerda severa de arquivos
Falso ransomwareCriptografa sem chaveRecuperação inviável
Backdoor remotaRecebe comandos C2Controle persistente
Streaming de telaEspionagem ao vivoExposição de dados sensíveis

Ligação com Crucio, CutBrooch e FlockWiper

A Microsoft relaciona o GigaWiper a pelo menos três famílias de malware previamente separadas. A conexão com Crucio e FlockWiper aparece em fluxos de execução, nomes de funções e cadeias de texto semelhantes. Já o componente chamado CutBrooch é associado ao módulo wiper autônomo detectado pelas assinaturas internas da Microsoft.

Programas maliciosos capazes de apagar discos se tornam ainda mais perigosos quando essa função é integrada a uma backdoor controlada remotamente.

Análise baseada em relatório da Microsoft Threat Intelligence

Na prática, essa montagem por partes indica uma evolução comum no ecossistema de ameaças: grupos reaproveitam código, módulos e técnicas já testadas para criar ferramentas mais flexíveis. Para defensores, isso dificulta a resposta, porque a ameaça pode parecer ransomware, ferramenta de acesso remoto ou malware wiper, dependendo do estágio do ataque.

Imagem gerada por IA usada como papel de parede após criptografia de arquivos
Segundo o relatório, uma imagem gerada por IA pode ser definida como papel de parede após a criptografia dos arquivos.

Quem está em risco e quais sinais observar

O alerta é especialmente relevante para organizações que dependem de estações Windows, servidores internos, redes corporativas e dados críticos. Ainda não há, no material citado, uma lista pública ampla de vítimas ou setores-alvo. Mesmo assim, o potencial destrutivo torna o GigaWiper uma ameaça prioritária para equipes de segurança, administradores de TI e usuários que trabalham com dados sensíveis.

  • Exceções desconhecidas no Windows Firewall;
  • Processos suspeitos escritos em Go ou sem assinatura confiável;
  • Alterações inesperadas no Registro do Windows;
  • Eventos incomuns em logs do sistema;
  • Criptografia repentina de arquivos sem pedido claro de resgate;
  • Uso anormal de rede por conexões TCP persistentes.

Como se proteger do GigaWiper

A principal recomendação da Microsoft é reforçar camadas de proteção antes da execução destrutiva. Ativar a proteção contra adulteração no Microsoft Defender ajuda a impedir mudanças não autorizadas nas configurações de segurança. Também é recomendado manter a proteção baseada em nuvem ativa, pois ela permite detectar ameaças recentes antes que assinaturas locais sejam atualizadas.

  1. Ative o Microsoft Defender com proteção contra adulteração.
  2. Mantenha a proteção em nuvem e envio automático de amostras.
  3. Faça backups offline e teste a restauração periodicamente.
  4. Monitore logs, firewall, processos e alterações no Registro.
  5. Restrinja privilégios administrativos e acesso remoto desnecessário.
  6. Use segmentação de rede para limitar movimentação lateral.

Backups são essenciais, mas precisam estar isolados. Se a cópia de segurança permanecer conectada à mesma rede ou unidade acessível pela máquina infectada, um wiper pode destruí-la junto com os dados originais.

Não há vídeo ou post social incorporável confirmado

A notícia original não fornece vídeos do YouTube, publicações do X/Twitter ou Instagram relacionados diretamente ao caso. Por isso, não foram inseridas incorporações externas no artigo.

Perguntas frequentes sobre o GigaWiper

  1. O que é o GigaWiper?

    É uma backdoor destrutiva para Windows. Ela permite controle remoto, espionagem de tela e execução de módulos wiper capazes de apagar dados.

  2. O GigaWiper é ransomware?

    Não exatamente. Ele inclui um falso ransomware derivado do Crucio, mas não salva chave de recuperação, tornando a criptografia destrutiva.

  3. O malware pode transmitir minha tela ao vivo?

    Sim. A ameaça pode capturar screenshots, gravar vídeo e transmitir a tela por conexão TCP, com suporte a teclado e mouse remotos.

  4. Como empresas podem reduzir o risco?

    Devem ativar proteção contra adulteração, usar defesa em nuvem, manter backups offline, monitorar logs e restringir privilégios administrativos.

Considerações finais

O GigaWiper mostra como ameaças modernas estão misturando espionagem, acesso remoto e destruição de dados em uma única operação. A descoberta da Microsoft Threat Intelligence reforça a necessidade de defesa em camadas, monitoramento contínuo e backups realmente isolados. Para usuários e organizações, a lição é clara: quando uma backdoor também funciona como wiper, a prevenção precisa acontecer antes do primeiro comando destrutivo.

Diogo Fernando

Apaixonado por tecnologia e cultura pop, programo para resolver problemas e transformar vidas. Empreendedor e geek, busco novas ideias e desafios. Acredito na tecnologia como superpoder do século XXI.