Škodlivý kód zneužívá ovladače aplikace EaseUS Partition Master, čímž je jednak hůře detekovatelný antivirovými systémy, jednak umí data na disku poškodit velmi efektivně. Kód je opatřen platným certifikátem kyperské společnosti Hermetica Digital Ltd.
Virus tak dostal přezdívku HermeticWiper a oficiální označení Win32/KillDisk.NCV.
Škodlivý kód detekovalo a analyzovalo výzkumné centrum slovenské společnosti Eset
Překlad tweetu: ESETResearch dnes objevil nový malware pro mazání dat použitý na Ukrajině. Telemetrie společnosti ESET ukazuje, že byl nainstalován na stovky počítačů v zemi. Následuje to po dnešních DDoS útocích na několik ukrajinských webových stránek.
V dalším tweetu společnost zjištění upřesnila: „První vzorek jsme pozorovali dnes kolem 14:52 UTC / 16:52 místního času. Časové razítko kompilace PE jednoho ze vzorků je 2021-12-28, což naznačuje, že útok mohl být připravován téměř dva měsíce.“
Bezpečnostní expert Emanuele De Lucia pak poznamenal, že jde o odlišný a propracovanější škodlivý kód, než byl využit při lednových kybernetických útocích. Ukrajinské úřady zasáhl kybernetický útok. Jde o ruské hackery, domnívají se.
Virus je podle bezpečnostní společnosti SentinelOne zaměřen na operační systém Microsoft Windows, maže data z disků a pamětí, maže i stínové kopie souborů a po restartu systému poškodí MBR (Master Boot Record) na začátku disků a tím počítač či server dostane zcela mimo provoz.