Óvakodj: Az újonnan kialakított Coronavirus Wiper Malware a Windows felhasználókat célozza meg
A számítógépes bűnözők a világ jelenlegi pandémiás helyzetét csak úgy tekintik, mint egy pénzeszköz-megragadási lehetőséget. Ezek a rosszindulatú személyek megragadnak minden esélyt arra, hogy kihasználják az emberek félelmét a COVID-19 vírussal szemben, amely már öt éve sújtja az embereket. Kihasználják az embereknek a Coronavírussal kapcsolatos információk iránti vágyát, és így pénzt keresnek. Hamis webhelyeket készítenek, hamis alkalmazásokat készítenek, térképeket készítenek és így tovább. Nincs szégyen, nincs bűncselekmény.
Az alábbiakban látható a nemrégiben regisztrált COVID-19-hez kapcsolódó domének exponenciális növekedésének ábrázolása, valamint hivatkozások a koronavírusra vagy a COVID-19-re, a cyberatákkal összefüggésben.
A COVID-19-hez kapcsolódó domainek napi regisztrációja 2020-ban. Forrás: rögzítettfuture.com
Hivatkozások a koronavírusra vagy a COVID-19-re, amelyet két hónapon belül használtak kibecsapások és kibernetések során. Forrás: recordfuture.com
Az áldozatok igénylésére szolgáló legújabb Coronavirus-malware egy azonos nevű ablaktörlő. Az inspirációt felhasználva a jelenlegi COVID-19 világjárványtól, amely aggodalomra ad okot az egész világon, a támadás mögött álló cyberrooksok Coronavírusnak nevezték el.
A kutatók felfedezték, hogy a koronavírus törlő veszélyes és pusztító trójaiként viselkedik. Emiatt a felhasználók nemcsak Coronavirus ablaktörlőnek, hanem a Coronavirus Trojan-nak is hívják. Előnyben részesített áldozata? Windows felhasználók.
A Coronavirus ablaktörlő felülírja a fő indítási rekordot (MBR), és támadási stratégiája emlékezteti a szakértőket a NotPetya ablaktörlőre . A NotPetya fenyegetése 2017-ben az internetet sújtotta, sújtva a felhasználókat. A két ablaktörlő kezdeti hasonlósága óriási mértékben a biztonsági szakértőket érintette. Ennek oka az, hogy a NotPetya visszamenõleg a támadások után elképesztõ számokat hozott, több mint 10 milliárd dollárt, hogy pontos legyen. Annak érdekében, hogy ezt szélesebb körben el lehessen építeni, még a WannaCry kampány is, amely őrületbe hozta a világot, az áldozatainak 4 milliárd és 8 milliárd dollár közötti összeget fizetett.
Semmi nem érte el a NotPetya „eredményeit”. Ezért szakértők osztották a súlyos aggodalmaikat, hogy a Coronavirus ablaktörlő követheti a NotPetya nyomában. A legtöbb szerencsére az újonnan kialakított rosszindulatú programok nem hasonlítanak a múltbéli robbanáshoz - a NotPetya. A biztonsági szakértők becslései szerint a koronavírus-törlő messze nem a legrosszabb fertőzés, amellyel esetlegesen találkozhatott, de állítsa, hogy nem az egyiket sem szabad alábecsülni.
Table of Contents
Hogyan terjed a Coronavírus ablaktörlő?
Ezekben a bizonytalan időkben, amikor az emberek egészségétől, családjától, jövedelmétől és munkahelyi biztonságától tartanak, a fenyegetés mögött lévő rosszindulatú csalások áldozatul állnak félelmükhöz. A rosszindulatú programok egy rosszindulatú kampány révén terjednek. A mögötte levő bűnözők nagyszámú adathalász e-mailt küldenek, amely a fertőzést hordozza, és mindent megtesznek a tömeges korrupció biztosítása érdekében. A sérült e-maileket a lehető legcsábítóbbá teszik, és pénzügyi megkönnyebbülést ígérnek a világjárvány okozta problémákra. Kényszerítik, hogy bíztassanak vonzó hazugságukban, majd megtévesztik a rosszindulatú programok engedélyezését a rendszerében. Ez csak akkor történik, ha úgy gondolja, hogy az e-mail tartalma megtörténik, és letölt egy rosszindulatú mellékletet, vagy megnyom egy sérült hivatkozást, vagy megteszi az összes, amit az e-mail sürget.
Az e-mailek a fertőzések leggyakrabban alkalmazott invazív módjai. Tudván ezt, tegyen meg mindent, hogy külön figyelmes legyen, amikor megkapod. Még egyszer ellenőrizze az összes információt, ellenőrizze, hogy a küldő jogos-e, kattintson a semmi elemre anélkül, hogy megbízhatónak hitelesítené. Ez az éberség megmentheti Önt a problémák fordulatától.
Természetesen a spam e-mail kampányok nem az egyetlen módszer, amellyel a rosszindulatú szoftverek a beszivárgáshoz fordulnak. Egymástól (p2p) hálózatokhoz, ingyenes szoftverekhez, hamis torrentekhez és hamis alkalmazásokhoz fordulnak. Kiválaszthatják a trükköket, és rajtad múlik, hogy észreveszi a megtévesztésüket és megakadályozzák őket, hogy betörjék a gépébe.
A spam-adathalász kampány működését ábrázoló diagram. Forrás: heimdalsecurity.com
Mi történik az invázió után?
Ha a fertőzés infiltrációs kísérlete sikeres, és befejeződik a számítógépen, akkor itt számíthat. A végrehajtás után a rosszindulatú program megkezdi a sérülési folyamatot egy tömör segítő fájl telepítésével. Egy ideiglenes mappába helyezik őket. A telepítő, a '' coronavirus.bat '' nevű segítő fájl formájában, egy rejtett mappa létrehozásával állítja be a fertőzés támadását. A neve "COVID-19", és tele van a korábban ledobott segítő fájlokkal. A lépés célja annak biztosítása, hogy a rosszindulatú programok a lehető leghosszabb ideig rejtve maradjanak. Ez a rejteléshez szükséges extra idő lehetővé teszi, hogy elvégezze azokat a károkat, amelyekre tervezték.
Miután megtörtént, és a mappa létrehozásra kerül, és most a helper fájlokat tárolja, a telepítő ("coronavirus.bat") letiltja a Windows Feladatkezelőt és a Felhasználói hozzáférés-vezérlést (UAC). Ez egy újabb kísérlet az elmosódásra. Ezután folytatja a háttérkép megváltoztatását, és letiltja az adott háttérkép hozzáadására vagy módosítására vonatkozó lehetőségeket. Ez nem áll meg, mivel bejegyzéseket is hozzáad a nyilvántartásba. Ezeket a műveleteket a fertőzés tartós fennmaradása miatt végezzük el a számítógépen. Amint a rosszindulatú programok befejezik őket, újraindul, és ezzel befejezi a telepítési folyamatot.
Ezután a run.exe nevű folyamat elkészíti a run.bat nevű kötegelt fájlt. A Run.bat biztosítja, hogy a "coronavirus.bat" telepítő által végrehajtott beállításjegyzék-módosítások érintetlenek maradjanak az újraindítás során. Amint az újraindítási folyamat véget ér, a rosszindulatú program két bináris fájlt hajt végre. Az egyikben egy ablak jelenik meg, amelyben a Coronavirus képe látható, amelyen két gomb is megjelenik. Ezt a bináris fájlt "mainWindow.exe" -nek hívják. Az ablak tetején található egy értesítés, amely arról tájékoztat, hogy "a koronavírus megfertőzte a számítógépet!" A két gomb megosztja a "Vírus eltávolítása" és a "Súgó" szöveget. Az "Eltávolít vírus" nem tesz semmit, de a "Súgó" elriasztó üzenetet jelenít meg, amely arra szólít fel, hogy "hagyja abba a számítógép javításának megkísérlését".
Az ablak ábrázolása a két gombbal, kijelentve: "a koronavírus megfertõzte a számítógépet!" Forrás: zdnet2.cbsistatic.com
A második bináris fájl elindítja a teljes támadást, és az felülírja az MBR-t. A szakértők felfedezték, hogy az eredeti MBR biztonsági másolatot készít az első szektorban, és csak azután felülírják egy új, és az MBR felülírja az új kódot.
“A számítógépe el lett dobva.”
A Coronavirus ablaktörlő ütöget, és a lemezt teljesen használhatatlanná teszi. Miután felülírja az MBR-t, üres szürke képernyővel és egy villogó kurzorral néz szembe, és csak a "A számítógépét eldobták" szavak néztek vissza.
A „A számítógépet eldobták” üzenet a Coronavirus ablaktörlő csapása után. Forrás: media.threatpost.com
Miután a rosszindulatú program újraírja az MBR-t, újraindítja a számítógépet, és lehetővé teszi az új MBR számára, hogy futtassa és blokkolja Önt egy indítás előtti képernyőn. Ezen a ponton már nem férhet hozzá a számítógépéhez. A kutatók biztosítják a felhasználók számára, hogy végül visszanyerik a számítógépükhöz való hozzáférést, de ehhez speciális alkalmazásokra lesz szükségük. Azok, akik az MBR helyreállítására és működő állapotba állítására szolgáltak. A rosszindulatú programok szakértői szerint még ha nem sikerül helyreállítania az MBR-t, mégis hozzáférhet és helyreállíthatja adatait a meghajtó beszerelésével.
Ha el akarja kerülni a rendetlenségek kezelését, akkor a Coronavirus ablaktörlő rád merül, ne felejtsen óvatosan járni. Az éberség segít észrevenni a számítógépes bűnözők kísérleteit, amelyek rávilágítanak a fertőzésekre. Tehát légy alapos, fogd be őket a cselekedetbe, és akadályozd meg a sikerüket. Vigyázzon, és tartsa a rendszert fertőzésmentesen.
