Tudatos megsemmisítés
A Lotus célja, hogy a kompromittált rendszert teljesen helyrehozhatatlanná tegye. Ehhez eltávolítja a helyreállítási mechanizmusokat, felülírja a fizikai meghajtókat, és módszeresen törli az összes fájlt az érintett meghajtókról. Mindez azt eredményezi, hogy a fertőzött gép üzemképtelenné válik, és helyreállításra nincs lehetőség. Emellett a támadások időzítése geopolitikai feszültségekkel esik egybe: 2026. január 3-án például letartóztatták Nicolás Maduro akkori elnököt. A venezuelai állami olajvállalat, a PDVSA decemberben jelentős fennakadásokat tapasztalt, amelyeket az Egyesült Államokra hárított, bár nincs bizonyíték arra, hogy valóban teljes adattörlés történt.
Előjáték a pusztításhoz
A támadás egy OhSyncNow.bat nevű script lefuttatásával kezdődik, amely leállítja a Windows UI0Detect szolgáltatását, majd XML-fájlokon keresztül kommunikál a tartományi gépekkel. Ha bizonyos feltételek teljesülnek, egy újabb script lép működésbe: felhasználókat sorol fel, jelszavakat változtat, aktív bejelentkezéseket töröl, hálózati eléréseket letilt, és törli a cache-elt belépéseket. Ezután az összes lemez tartalmát nullákkal írja felül, illetve Robocopyval írja felül a könyvtárak tartalmát. Emellett az fsutil programmal teljesen megtölti a szabad tárhelyet, hogy a helyreállítás gyakorlatilag lehetetlenné váljon. A környezet előkészítése után végül a script dekódolja és futtatja a Lotus kártevőt.
Lotus: teljes pusztítás alacsony szinten
A Lotus a lemezekhez alacsony szinten, közvetlen vezérlőparancsokkal fér hozzá: törli a Windows visszaállítási pontokat, felülírja és nullázza a fizikai szektorokat, törli az USN-naplót, a fájlokat pedig nemcsak törli, hanem tartalmukat is lenullázza, és véletlenszerű neveken próbálja őket eltüntetni. Mindezt többször is végrehajtja, hogy az utolsó visszaállítási opció is megsemmisüljön. A Kaspersky szerint a rendszeradminisztrátoroknak érdemes figyelniük a NETLOGON megosztások változásait, szokatlan diskpart-, robocopy- és fsutil-használatot, illetve gyanús fiókmódosításokat. Az egyetlen biztos védelem: rendszeres, offline mentések, amelyeket időről időre ellenőrizni is kell.
