Προσοχή: Το νεωτερισμένο λογισμικό κακόβουλου λογισμικού από το Coronavirus στοχεύει τους χρήστες των Windows
Οι κυβερνοεγκληματίες εξετάζουν την τρέχουσα πανδημική κατάσταση του κόσμου ως τίποτα περισσότερο από μια ευκαιρία για μια αρπαγή σε μετρητά. Αυτά τα κακόβουλα άτομα εκμεταλλεύονται κάθε ευκαιρία να αξιοποιήσουν τον φόβο των ανθρώπων σχετικά με τον ιό COVID-19, που μαστίζουν τους ανθρώπους εδώ και πάνω από πέντε μήνες. Χρησιμοποιούν την λαχτάρα των ανθρώπων για πληροφορίες σχετικά με τους Coronavirus και την χρησιμοποιούν για να βγάλουν λεφτά. Κατασκευάζουν ψεύτικες τοποθεσίες, εφαρμογές ψεύτικων, χάρτες σφυρηλάτησης και ούτω καθεξής. Δεν έχουν καμία ντροπή, καμία ασάφεια.
Παρακάτω μπορείτε να δείτε απεικονίσεις της εκθετικής αύξησης των πρόσφατα καταχωρημένων τομέων COVID-19, καθώς και αναφορές σε Coronavirus ή COVID-19, που σχετίζονται με κυβερνοεπιθέσεις.
Εγγραφές των τομέων που σχετίζονται με το COVID-19 ανά ημέρα το 2020. Πηγή: recordedfuture.com
Αναφορές σε Coronavirus ή COVID-19 που χρησιμοποιούνται σε συνεργασία με κυβερνοεπαγγελματίες και κυβερνοεπαγγελματίες σε δύο μήνες. Πηγή: recordedfuture.com
Το πιο πρόσφατο κακόβουλο λογισμικό που σχετίζεται με το Coronavirus για να διεκδικήσει τα θύματα είναι ένας υαλοκαθαριστήρας με το ίδιο όνομα. Λαμβάνοντας «έμπνευση» από την τρέχουσα πανδημία COVID-19, ανησυχώντας τους ανθρώπους σε όλο τον κόσμο, οι cybercrooks πίσω από την επίθεση επέλεξαν να το ονομάσουν Coronavirus.
Οι ερευνητές ανακάλυψαν ότι ο υαλοκαθαριστήρας Coronavirus δρα σαν ένας επικίνδυνος και καταστροφικός Δούρειος ίππος. Λόγω αυτού του γεγονότος, οι χρήστες όχι μόνο αποκαλούν υαλοκαθαριστήρα Coronavirus, αλλά και Trojan Coronavirus. Το προτιμώμενο θύμα του; Χρήστες Windows.
Ο υαλοκαθαριστήρας Coronavirus αντικαθιστά το κύριο αρχείο εκκίνησης (MBR) και η στρατηγική επίθεσης του υπενθυμίζει στους ειδικούς αυτού του υαλοκαθαριστήρα NotPetya . Η απειλή NotPetya περιπλανούσε το διαδίκτυο, μολύνοντας τους χρήστες, το 2017. Η αρχική ομοιότητα μεταξύ των δύο υαλοκαθαριστήρων, αφορούσε εξαιρετικά τους ειδικούς ασφαλείας. Αυτό οφείλεται στο γεγονός ότι η NotPetya κέρδισε εκπληκτικούς αριθμούς μετά από τις επιθέσεις της, πάνω από 10 δισ. Δολάρια, για να είμαστε ακριβείς. Για να σας βοηθήσει να το βάλετε σε κλίμακα, ακόμα και η εκστρατεία WannaCry, η οποία προκάλεσε τον κόσμο σε φρενίτιδα, κατέληξε να κοστίζει τα θύματά της μεταξύ 4 και 8 δισεκατομμυρίων δολαρίων.
Τίποτα δεν έχει πλησιάσει τα «επιτεύγματα» της NotPetya. Αυτός είναι ο λόγος για τον οποίο οι ειδικοί μοιράστηκαν σοβαρές ανησυχίες ότι ο υαλοκαθαριστήρας Coronavirus μπορεί να ακολουθήσει τα βήματα της NotPetya. Ευτυχώς για τους περισσότερους, το νέο-δημιουργημένο κακόβουλο λογισμικό δεν συγκρίνεται με την αιματηρή έκρηξη από το παρελθόν - NotPetya. Οι ειδικοί ασφαλείας εκτιμούν ότι ο υαλοκαθαριστήρας Coronavirus δεν είναι, κατά πολύ, η χειρότερη λοίμωξη που θα μπορούσατε να συναντήσετε, αλλά δηλώνετε ότι δεν είναι και αυτός που πρέπει να υποτιμάτε.
Table of Contents
Πώς εξαπλώνεται ο υαλοκαθαριστήρας Coronavirus;
Σε αυτούς τους αβέβαιους καιρούς, όταν οι άνθρωποι φοβούνται για την υγεία, την οικογένεια, το εισόδημα και την ασφάλεια της εργασίας τους, τους κακόβουλους απατεώνες πίσω από την απειλή, θύματα των φόβων τους. Το κακόβουλο λογισμικό εξαπλώνεται μέσω καμπάνιας malvertising. Οι εγκληματίες του κυβερνοχώρου πίσω από αυτό, στέλνουν ένα πλήθος ηλεκτρονικών μηνυμάτων ηλεκτρονικού "ψαρέματος", μεταφέρουν τη λοίμωξη και κάνουν ό, τι είναι δυνατόν για να εξασφαλίσουν μαζική διαφθορά. Κάνουν τα αλλοιωμένα μηνύματα ηλεκτρονικού ταχυδρομείου όσο πιο δελεαστικά, υποσχόμενη οικονομική ανακούφιση για κάθε πρόβλημα που προκαλείται από την πανδημία. Σας παρασύρουν να εμπιστευτείτε τα ελκυστικά ψέματά τους και, στη συνέχεια, προχωρήστε για να σας επιτρέψουν να επιτρέψετε το κακόβουλο λογισμικό στο σύστημά σας. Αυτό συμβαίνει μόνο αν πιστεύετε στο περιεχόμενο του μηνύματος ηλεκτρονικού ταχυδρομείου και κάνετε λήψη ενός κακόβουλου συνημμένου ή πατήστε έναν κατεστραμμένο σύνδεσμο ή κάντε οτιδήποτε άλλο σας προτρέπει να κάνετε.
Τα μηνύματα ηλεκτρονικού ταχυδρομείου συγκαταλέγονται μεταξύ των συχνότερα χρησιμοποιούμενων επεμβατικών μεθόδων για λοιμώξεις. Γνωρίζοντας ότι, κάνετε το καλύτερό σας για να είστε πολύ προσεκτικοί όταν παίρνετε ένα. Διπλά ελέγξτε όλες τις πληροφορίες που βλέπετε, επαληθεύστε τον αποστολέα ως νόμιμο, κάντε κλικ σε τίποτα χωρίς να το πιστοποιήσετε ως αξιόπιστο. Αυτή η επαγρύπνηση μπορεί να σας εξοικονομήσει από ένα στροβιλισμό των ζητημάτων.
Φυσικά, οι καμπάνιες ηλεκτρονικού ταχυδρομείου ανεπιθύμητης αλληλογραφίας δεν είναι η μόνη μέθοδος που χρησιμοποιούν τα εργαλεία κακόβουλου λογισμικού όταν πρόκειται για διείσδυση. Θα στραφούν σε δίκτυα peer-to-peer (p2p), δωρεάν λογισμικό, πλαστά torrents και εφαρμογές ψεύτικων. Έχουν τη συλλογή των κόλπα τους, και εξαρτάται από εσάς να εντοπίσετε την εξαπάθειά τους και να τους εμποδίσετε να εισβάλουν στο μηχάνημά σας.
Ένα γράφημα που απεικονίζει τη λειτουργία μίας καμπάνιας phishing spam. Πηγή: heimdalsecurity.com
Τι συμβαίνει μετά την εισβολή;
Εάν οι προσπάθειες διείσδυσης της λοίμωξης επιτύχουν και τελειώσει στον υπολογιστή σας, μπορείτε να περιμένετε. Μόλις εκτελεστεί, το κακόβουλο λογισμικό ξεκινά τη διαδικασία διαφθοράς εγκαθιστώντας μια σειρά βοηθητικών αρχείων. Βάζουμε σε έναν προσωρινό φάκελο. Ένα πρόγραμμα εγκατάστασης, με τη μορφή ενός βοηθητικού αρχείου με το όνομα '' coronavirus.bat '', ρυθμίζει την επίθεση της λοίμωξης κάνοντας ένα κρυφό φάκελο. Ονομάζεται "COVID-19", και παίρνει πλήρης τα αρχεία βοήθειας που είχαν ήδη αποσταλεί. Ο σκοπός αυτής της κίνησης είναι να διασφαλιστεί ότι το κακόβουλο πρόγραμμα παραμένει κρυμμένο όσο το δυνατόν περισσότερο. Αυτός ο επιπλέον χρόνος που κρύβεται επιτρέπει σε αυτόν να εκτελέσει τις ζημιές που έχει σχεδιαστεί να κάνει.
Μόλις γίνει αυτό και ο φάκελος δημιουργείται και τώρα φιλοξενεί τα αρχεία βοηθού, ο εγκαταστάτης ("coronavirus.bat") απενεργοποιεί το Windows Task Manager και τον έλεγχο πρόσβασης χρήστη (UAC). Αυτή είναι μια ακόμη προσπάθεια παρατήρησης. Στη συνέχεια, συνεχίζει να αλλάζει την ταπετσαρία σας και να απενεργοποιεί τις επιλογές σας για να προσθέσετε ή να τροποποιήσετε την εν λόγω ταπετσαρία. Δεν σταματά εκεί καθώς προσθέτει επίσης καταχωρήσεις στο μητρώο. Όλες αυτές οι ενέργειες γίνονται για την επιμονή της λοίμωξης στον υπολογιστή σας. Μόλις τελειώσει το κακόβουλο λογισμικό, κάνει επανεκκίνηση, ολοκληρώνοντας έτσι τη διαδικασία εγκατάστασης.
Στη συνέχεια, μια διαδικασία που ονομάζεται run.exe χειροτερεύει ένα αρχείο δέσμης με όνομα run.bat. Το Run.bat διασφαλίζει ότι οι τροποποιήσεις του μητρώου που εκτελούνται από το πρόγραμμα εγκατάστασης "coronavirus.bat" παραμένουν άθικτες κατά την επανεκκίνηση. Μόλις τελειώσει η διαδικασία επανεκκίνησης, το κακόβουλο πρόγραμμα εκτελεί δύο δυαδικά αρχεία. Ένας από αυτούς σας δείχνει ένα παράθυρο που έχει μια εικόνα του Coronavirus, το οποίο εμφανίζει επίσης δύο κουμπιά. Αυτό το δυαδικό που ονομάζεται "mainWindow.exe". Στην κορυφή αυτού του παραθύρου, βρίσκετε μια ειδοποίηση που σας ενημερώνει ότι "ο coronavirus έχει μολύνει τον υπολογιστή σας!" Τα δύο κουμπιά μοιράζονται το κείμενο "Κατάργηση του ιού" και "Βοήθεια". Το "Κατάργηση του ιού" δεν κάνει τίποτα, αλλά το "Βοήθεια" εμφανίζει ένα αποθαρρυντικό μήνυμα για να σας σταματήσουμε να προσπαθήσουμε να διορθώσουμε τον υπολογιστή σας.
Η απεικόνιση του παραθύρου με τα δύο κουμπιά, δηλώνοντας ότι "ο coronavirus έχει μολύνει τον υπολογιστή σας!" Πηγή: zdnet2.cbsistatic.com
Το δεύτερο δυαδικό είναι αυτό που ξεκινά την πλήρη επίθεση, και είναι εκείνη που αντικαθιστά το MBR. Οι ειδικοί αποκάλυψαν ότι το αρχικό σας MBR λαμβάνει αντίγραφα ασφαλείας στον πρώτο τομέα και μόνο μετά από αυτό, αντικαθίσταται με ένα νέο και το MBR αντικαθίσταται με τον νέο κώδικα.
“Ο υπολογιστής σας έχει καταστραφεί.”
Ο υαλοκαθαριστήρας Coronavirus χτυπάει, και μετατρέπει το δίσκο σε μια εντελώς ακατάλληλη. Αφού αντικαταστήσει το MBR, αντιμετωπίζετε μια κενή γκρι οθόνη και έναν δρομέα που αναβοσβήνει, με μόνο τις λέξεις "Ο υπολογιστής σας έχει τραβηχτεί" κοιτάζοντας πίσω σας.
Το μήνυμα "Ο υπολογιστής σας έχει τραβηχτεί" μετά το χτύπημα των υαλοκαθαριστήρων Coronavirus. Πηγή: media.threatpost.com
Αφού το κακόβουλο πρόγραμμα ξαναγράψει το MBR σας, επανεκκινεί τον υπολογιστή σας και επιτρέπει στο νέο MBR να τρέχει και να σας αποκλείει σε μια οθόνη προ-εκκίνησης. Σε αυτό το σημείο, δεν μπορείτε πλέον να έχετε πρόσβαση στον υπολογιστή σας. Οι ερευνητές διαβεβαιώνουν τους χρήστες ότι μπορούν τελικά να αποκτήσουν πρόσβαση στους υπολογιστές τους, αλλά για να το κάνουν, θα χρειαστούν ειδικές εφαρμογές. Αυτοί που χρησιμοποιούνται για την ανάκτηση και την ανοικοδόμηση του MBR σε κατάσταση λειτουργίας. Ωστόσο, σύμφωνα με τους ειδικούς κακόβουλου λογισμικού, ακόμη και αν δεν καταφέρετε να αποκαταστήσετε το MBR σας, μπορείτε ακόμα να έχετε πρόσβαση και να ανακτήσετε τα δεδομένα σας τοποθετώντας τη μονάδα δίσκου.
Εάν θέλετε να αποφύγετε να αντιμετωπίζετε το χάος, ο υαλοκαθαριστήρας Coronavirus σας αναβλύζει, θυμηθείτε να είστε προσεκτικοί. Η επαγρύπνηση σάς βοηθά να εντοπίζετε τις προσπάθειες των εγκληματιών στον κυβερνοχώρο να ωθήσουν τις μολύνσεις σας. Έτσι, να είστε προσεκτικοί, να τους πιάσετε στην πράξη και να εμποδίσετε την επιτυχία τους. Φυλάξτε το φρουρά σας και κρατήστε το σύστημά σας χωρίς λοίμωξη.
