С пандемией коронавируса ( COVID-19 ), распространяющейся по всему земному шару, некоторые авторы вредоносных программ разработали вредоносное ПО, которое уничтожает зараженные системы, либо стирая файлы, либо переписывая основную загрузочную запись компьютера (MBR).
С помощью сообщества Infosec ZDNet обнаружил, по крайней мере, пять разновидностей вредоносных программ, некоторые из которых распространены в дикой природе, тогда как другие, похоже, были созданы только в качестве тестов или шуток.
Общей темой среди всех четырех образцов является то, что они используют тему коронавируса и ориентированы на уничтожение, а не на финансовую выгоду.
MBR-ПЕРЕПИСЫВАЮЩАЯ ВРЕДОНОСНАЯ ПРОГРАММА
Из четырех образцов вредоносного ПО, обнаруженных исследователями в области безопасности в прошлом месяце, наиболее продвинутыми были два образца, которые переписали сектора MBR.
Для создания этих нагрузок потребовались некоторые технические знания, так как работа с основной загрузочной записью - нелегкое дело, и в результате могут легко возникнуть системы, которые вообще не загружаются.
Первый из перезаписчиков MBR был обнаружен исследователем безопасности под названием MalwareHunterTeam и подробно описан в отчете SonicWall на этой неделе. Используя это имя COVID-19.exe, эта вредоносная программа заражает компьютер и имеет два этапа заражения.
На первом этапе он просто показывает раздражающее окно, которое пользователи не могут закрыть, поскольку вредоносная программа также отключила диспетчер задач Windows.
Пока пользователи пытаются работать с этим окном, вредоносная программа молча переписывает основную загрузочную запись компьютера за их спиной. Затем он перезагружает ПК, и запускается новая MBR, блокируя пользователей на экране предварительной загрузки.
Пользователи могут в конечном итоге восстановить доступ к своим компьютерам, но им потребуются специальные приложения, которые можно использовать для восстановления и восстановления MBR до рабочего состояния.
Но был второй штамм вредоносного ПО на тему коронавируса, который переписал MBR. Это гораздо более запутанная вредоносная операция.
Это выглядело как «вымогатель CoronaVirus», но это был только фасад. Основная функция вредоносного ПО состояла в том, чтобы украсть пароли с зараженного хоста и затем имитировать вымогателей, чтобы обмануть пользователя и скрыть его реальное назначение.
Тем не менее, это не было вымогателем либо. Это только выдано как один. Как только операции кражи данных закончились, вредоносная программа вступила в фазу, когда она перезаписывала MBR и блокировала пользователей в предзагрузочном сообщении, предотвращая доступ к их ПК. Поскольку пользователи видят записки с требованием выкупа, а затем не могут получить доступ к своим компьютерам, последнее, что нужно сделать пользователям, это проверить, не кто-нибудь получил пароли из своих приложений.
Согласно анализу SentinelOne, исследователя безопасности Vitali Kremez и Bleeping Computer , вредоносная программа также содержала код для очистки файлов в системах пользователя, но он не был активным в проанализированной ими версии.
Кроме того, этот был также обнаружен дважды, вторая версия была обнаружена исследователем вредоносных программ G DATA Карстеном Ханом через две недели. На этот раз вредоносная программа сохранила возможности перезаписи MBR, но заменила функцию очистки данных функциональной блокировкой экрана.
Но исследователи безопасности заметили больше, чем MBR-переписчики на тему коронавируса. Они также обнаружили два очистителя данных.
Оба были обнаружены MalwareHunterTeam.
Первый был замечен еще в феврале. В нем использовалось китайское имя файла, и, скорее всего, оно предназначалось для китайских пользователей, хотя у нас нет информации, распространялось ли оно в дикой природе или было просто тестом.
Второй был обнаружен вчера, и этот был найден загруженным на портале VirusTotal кем-то, кто находится в Италии.
MalwareHunterTeam описал оба штамма как «плохие дворники» из-за неэффективных, подверженных ошибкам и трудоемких методов, которые они использовали для удаления файлов в зараженных системах. Однако они работали, что делало их опасными, если они когда-либо распространялись в дикой природе.
Может показаться странным, что некоторые авторы вредоносных программ создают подобные вредоносные вредоносные программы, но это происходит не впервые. Исследователи в области безопасности обнаруживают, что для каждого штамма вредоносного ПО, созданного в финансовом отношении, существует шутка, созданная исключительно для хихиканья. Нечто подобное произошло во время вспышки вымогателей WannaCry в 2017 году, когда через несколько дней после того, как во всем мире зашифрованные компьютеры WannaCry зашифровались впервые, было бесчисленное множество клонов, делающих то же самое без видимой причины.