假冒东京奥运文件的恶意软件Wiper，锁定日本用户而来

延期一年的2020东京奥运，正式于7月23日如火如荼举行。在此之前，美国联邦调查局（FBI）曾于7月19日发出警告，可能有网络攻击企图干扰这场大型运动赛事。隔了2天（7月21日），日本资安业者三井物产资安管理（三井物产セキュアディレクション，MBSD）揭露，他们发现名为Wiper的恶意软件，攻击者将它伪装成东京奥运的文件，疑似锁定日本当地的Windows电脑发动攻击，删除使用者的文件档案。

这起攻击引起MBSD留意的原因，是因为他们看到近期有人在法国上传了以日文命名的档案到VirusTotal，且这个恶意软件的档案名称与东京奥运有关：攻击者宣称是服务器因东京奥运所遭受网络攻击的损害调查报告。

为了让受害者误以为是PDF文件，骇客亦将Wiper的图示更换为PDF档案。研究人员表示，虽然该恶意软件的副档名是EXE，但是因为档案的名称非常长，即便使用者设定了档案总管显示所有类型的副档名，还是有可能因为无法直接看到副档名，依据图示判别档案型态而上当。

一旦使用者不慎开启Wiper，使用者个人目录（c:\\users\\%username%\\）下多种类型的Office文件、PDF档案、文字档案，以及事件记录和可执行档案等，就会遭到删除。值得留意的是，由日本当地知名文书处理软件一太郎所制作的文件（副档名为JTDC、JTTC、JTD、JTT），也会遭到Wiper删除，研究人员依此研判，这项攻击行动应该是锁定日本使用者而来。

为了避免行径被发现，MBSD指出，Wiper内含下列反侦测的功能。像是防范资安研究人员透过虚拟机器（VM）触发，该恶意软件一旦发现处于这类环境中，便会自我删除。再者，则是在Wiper执行的过程中，攻击者运用了名为cURL的工具，企图误导鉴识受害电脑的资安人员，使用者其实是因浏览成人网站XVideos，而导致部分电脑资料被删除。