27 什么是沙蒙病毒（Shamoon）？

2012年，沙蒙病毒在沙特阿拉伯国家石油公司和卡塔尔天然气公司的攻击活动中首次被发现，它能够销毁受感染机器中的文件，并覆盖主引导记录，让计算机瘫痪。Shammoon使这两家被攻击的公司的3万个工作站停产近一个月。之后Shamoon在人们的视野中消失了4年。

在2016～2017年的新一轮攻击中，其以Shamoon2.0的身份再次出现。与最初的Shamoon恶意软件一样，升级后的版本通过清除MBR数据来破坏计算机硬盘驱动器，主要针对沙特阿拉伯国家的石化行业和央行体系，之后再次消失。

2018年12月10日，意大利石油和天然气公司遭到网络攻击。攻击者主要针对该公司位于中东地区、印度、苏格兰和意大利的服务器，使用的恶意软件是Shamoon的新变体Shamoon3.0。约有300到400台服务器及100台工作站在此次攻击事件中受到影响。

在2018年的攻击活动中，伴随着Shamoon3.0出现的还有新数据擦除器Filerase。Filerase可擦除（覆盖）受感染系统中的文件。2018年的Shamoon攻击活动由于使用了Filerase而更具破坏性。Shamoon可以擦除受感染系统的主引导记录，但硬盘中的文件可被恢复，而在使用Filerase后，任何文件都将无法恢复。

Filerase具有模块化结构，包含多个在本地网络进行传播的组件。这意味着Filerase本身可以作为一个单独的威胁。Filerase在受害者的本地网络中传播时，依赖一个目标名单来选取目标。在初始感染过程中，该名单是由OCLC.exe组件复制的，并发送给Spreader.exe工具，后者将Filerase复制到名单中的机器上。该名单是一个包含不同受害者名字的文本文件，这些名字很有可能是攻击者在攻击的早期阶段收集的。