Исследователи безопасности обнаружили вредоносное ПО на тему коронавируса, созданное для уничтожения компьютеров пользователей.
С пандемией коронавируса ( COVID-19 ), распространяющейся по всему земному шару, некоторые авторы вредоносных программ разработали вредоносное ПО, которое уничтожает зараженные системы, либо стирая файлы, либо переписывая основную загрузочную запись компьютера (MBR).
С помощью сообщества Infosec ZDNet обнаружил, по крайней мере, пять разновидностей вредоносных программ, некоторые из которых распространены в дикой природе, тогда как другие, похоже, были созданы только в качестве тестов или шуток.
Общей темой среди всех четырех образцов является то, что они используют тему covid-19 и ориентированы на уничтожение, а не на финансовую выгоду.
MBR-ПЕРЕПИСЫВАЮЩАЯ ВРЕДОНОСНАЯ ПРОГРАММА
Из четырех образцов вредоносного ПО, обнаруженных исследователями в области безопасности в прошлом месяце, наиболее продвинутыми были два образца, которые переписали сектора MBR.
Для создания этих штаммов потребовались некоторые передовые технические знания, поскольку работа с основной загрузочной записью - нелегкое дело, и в результате могут легко возникнуть системы, которые вообще не загружаются.
Первый MBR был обнаружен исследователем безопасности под названием MalwareHunterTeam и подробно описан SonicWall на этой неделе. Используя это имя COVID-19.exe, эта вредоносная программа заражает компьютер и имеет два этапа заражения.
На первом этапе он просто показывает раздражающее окно, которое пользователи не могут закрыть, поскольку вредоносная программа также отключила диспетчер задач Windows.
Пока пользователи пытаются работать с этим окном, вредоносная программа молча переписывает основную загрузочную запись компьютера за их спиной. Затем он перезагружает PC, и запускается новая MBR, блокируя пользователей на экране предварительной загрузки.
Пользователи могут в конечном итоге восстановить доступ к своим компьютерам, но им потребуются специальные приложения, которые можно использовать для восстановления и восстановления MBR до рабочего состояния.
Но был второй штамм вредоносного ПО на тему covid-19, который переписал MBR. Это гораздо более запутанная вредоносная операция.
Это выглядело как «вымогатель CoronaVirus», но это был только фасад. Основная функция вредоносного ПО состояла в том, чтобы украсть пароли с зараженного hosta и затем имитировать вымогателей, чтобы обмануть пользователя и скрыть его реальное назначение.Как только операции кражи данных закончились, вредоносная программа вступила в фазу, когда она перезаписывала MBR и блокировала пользователей в сообщении, предотвращая доступ к их PC. Поскольку пользователи видят записки с требованием выкупа, а затем не могут получить доступ к своим компьютерам, последнее, что нужно сделать пользователям, это проверить, не кто-нибудь получил пароли из своих приложений.
