Pas på: Nyt lavet Coronavirus Wiper Malware er målrettet mod Windows-brugere
Cyberkriminelle betragter den nuværende pandemistat i verden som intet andet end en mulighed for et kontantfang. Disse ondsindede personer griber enhver chance for at drage fordel af folks frygt for COVID-19-virussen og plager folk i over fem måneder nu. De udnytter folks suget efter information omkring Coronavirus og bruger det til at tjene penge. De udarbejder falske websteder, falske apps, smedekort osv. De har ingen skam, ingen skrupler.
Nedenfor kan du se skildringer af den eksponentielle vækst af nyligt registrerede COVID-19-relaterede domæner, samt henvisninger til Coronavirus eller COVID-19, der er forbundet med cyberattacks.
Registreringer af COVID-19-relaterede domæner pr. Dag i 2020. Kilde: recordingfuture.com
Henvisninger til Coronavirus eller COVID-19 anvendt i forbindelse med cyberangreb og cyberudnyttelse på to måneder. Kilde: recordingfuture.com
Den seneste Coronavirus-relaterede malware, der kræver ofre, er en visker med samme navn. På baggrund af 'inspiration' fra den nuværende COVID-19-pandemi og urolige mennesker over hele verden valgte cybercrooks bag angrebet at kalde det Coronavirus.
Forskere opdagede, at Coronavirus-viskeren fungerer som en farlig og destruktiv trojan. På grund af dette faktum kalder brugerne ikke kun Coronavirus-visker, men også Coronavirus Trojan. Dens foretrukne offer? Windows-brugere.
Coronavirus-viskeren overskriver din master boot record (MBR), og dens angrebsstrategi, minder eksperter om den fra NotPetya-visker . NotPetya-truslen strejfede rundt på nettet og plagede brugerne i 2017. Den oprindelige lighed mellem de to viskere var enormt bekymret for sikkerhedseksperter. Det skyldes, at NotPetya, tilbage i sin hovedpolitik, trak forbløffende tal efter sine angreb for over 10 milliarder dollars for at være nøjagtig. For at hjælpe dig med at sætte det i skala endte selv WannaCry-kampagnen, der fik verden til en vanvid, med at koste sine ofre mellem $ 4 og 8 milliarder dollars.
Intet er kommet tæt på NotPetya '' præstationer '. Derfor delte eksperter alvorlige bekymringer for, at Coronavirus-viskeren kan følge i NotPetyas fodspor. Heldigvis for de fleste sammenligner den nyoprettede malware ikke den, der er sprænget fra behemoth fra fortiden - NotPetya. Sikkerhedseksperter anslår, at Coronavirus-viskeren langtfra er den værste infektion, du kunne støde på, men anfør, at det ikke er en, du skal undervurdere heller.
Table of Contents
Hvordan spredes Coronavirus-viskeren?
I disse usikre tider, hvor folk frygter for deres helbred, familie, indkomst og jobsikkerhed, byder de ondsindede skurk bag truslen på deres frygt. Malware spreder sig via en malvertising-kampagne. Cyberkriminelle bag det, sender en række phishing-e-mails, bærer infektionen og gør deres bedste for at sikre massekorruption. De laver deres beskadigede e-mails så lokkende som muligt, og lover økonomisk lettelse for alle problemer forårsaget af pandemien. De lokker dig til at stole på deres tiltalende løgne og fortsæt derefter med at dupe dig til at tillade malware i dit system. Det sker kun, hvis du tror på indholdet af e-mailen og downloader en ondsindet vedhæftet fil, eller trykker på et beskadiget link, eller gør hvad som helst andet, som e-mailen opfordrer dig til at gøre.
E-mails er blandt de mest anvendte invasive måder til infektioner. Når du ved det, skal du gøre dit bedste for at være ekstra opmærksom, når du får en. Dobbeltkontrol af alle de oplysninger, du ser, verificer afsenderen som legitim, klik ikke på noget uden at godkende dem som pålidelige. Denne årvågenhed kan redde dig fra en hvirvel af problemer.
Naturligvis er spam-e-mail-kampagner ikke den eneste metode, malware-værktøjer henvender sig til, når det kommer til infiltration. De henvender sig til peer-to-peer (p2p) netværk, freeware, falske torrents og sham-applikationer. De har deres valg af tricks, og det er op til dig at se deres bedrag og forhindre dem i at invadere din maskine.
Et diagram, der viser virkningerne af en spam-phishing-kampagne. Kilde: heimdalsecurity.com
Hvad sker der efter invasionen?
Hvis infektionens infiltrationsforsøg lykkes, og den afvikles på din pc, er det her, hvad du kan forvente. Når den er henrettet, begynder malware sin korruptionsproces ved at installere en række hjælpefiler. De sættes i en midlertidig mappe. Et installationsprogram i form af en hjælpefil ved navn '' coronavirus.bat, '' opsætter infektionens angreb ved at oprette en skjult mappe. Det kaldes "COVID-19", og det bliver fyldt med de tidligere faldne hjælperfiler. Formålet med dette træk er at sikre, at malware forbliver skjult så længe som muligt. Denne ekstra tid i skjul giver den mulighed for at udføre den skade, den fik designet til at gøre.
Når dette er gjort, og mappen bliver oprettet, og nu har hjælperfilerne, deaktiverer installationsprogrammet ("coronavirus.bat") Windows Task Manager og User Access Control (UAC). Det er endnu et forsøg på tilsløring. Derefter fortsætter det med at ændre dit tapet og deaktivere dine indstillinger for at tilføje eller ændre det nævnte tapet. Det stopper ikke der, da det også tilføjer poster i registreringsdatabasen. Alle disse handlinger gøres for infektionens vedholdenhed på din PC. Så snart malware er færdig med at udføre dem, genstarter den igen og afslutter dermed installationsprocessen.
Derefter fremstiller en proces kaldet run.exe en batchfil med navnet run.bat. Run.bat sikrer, at registreringsdatabaseændringerne, der udføres af installationsprogrammet "coronavirus.bat", forbliver intakte under genstart. Når genstartprocessen er afsluttet, udfører malware to binære filer. En af dem viser dig et vindue, der har et billede af Coronavirus, der også viser to knapper. Den binære kaldes "mainWindow.exe." Helt øverst i vinduet finder du en meddelelse, der fortæller dig "coronavirus har inficeret din pc!" De to knapper deler teksten "Fjern virus" og "Hjælp." Én "Fjern virus" gør intet, men "Hjælp" viser en nedslående meddelelse for at få dig til at "stoppe med at løse din computer."
Skildring af vinduet med de to knapper med angivelse af "coronavirus har inficeret din pc!" Kilde: zdnet2.cbsistatic.com
Den anden binære er den, der lancerer fuldt angrebet, og det er den, der overskriver MBR. Eksperter har afsløret, at din oprindelige MBR sikkerhedskopieres i den første sektor, og først derefter overskrives den med en ny, og MBR overskrives med den nye kode.
“Din computer er blevet papirkurven.”
Coronavirus-viskeren rammer, og det gør din disk til en helt ubrugelig. Når den overskriver MBR, står du over for en tom grå skærm og en blinkende markør, hvor kun ordene "Din computer er blevet papirkurven" og stirrer tilbage på dig.
Meddelelsen "Din computer er blevet papirkurven" efter Coronavirus-viskeren strejker. Kilde: media.threatpost.com
Når malware'en har omskrevet din MBR, genstarter den din computer og giver den nye MBR mulighed for at køre og blokere dig i en pre-boot-skærm. På dette tidspunkt kan du ikke længere få adgang til din pc. Forskere forsikrer brugerne om, at de til sidst kan genvinde adgang til deres pc'er, men for at gøre det, skal de kræve specielle applikationer. Man plejede at gendanne og genopbygge MBR'en til en fungerende tilstand. Men ifølge malware-eksperter, selvom du ikke formår at gendanne din MBR, kan du stadig få adgang til og gendanne dine data ved at montere drevet.
Hvis du ønsker at undgå at håndtere rodet, springer Coronavirus-viskeren på dig, skal du huske at være på vagt. Vigilance hjælper dig med at få øje på cyberkriminals forsøg på at skubbe infektioner på dig. Så vær grundig, fang dem i handlingen og hindre deres succes. Hold din vagt op, og hold dit system infektionsfrit.
