Pas op: nieuw gemaakte Coronavirus Wiper Malware richt zich op Windows-gebruikers
Cybercriminelen beschouwen de huidige pandemische toestand van de wereld niet meer dan een kans om geld te grijpen. Deze kwaadwillende personen grijpen elke kans aan om in te spelen op de angst van mensen met betrekking tot het COVID-19-virus en mensen al meer dan vijf maanden teisteren. Ze maken gebruik van het verlangen van mensen naar informatie over Coronavirus en gebruiken het om geld te verdienen. Ze maken nep-sites, nep-apps, smeden kaarten, enzovoort. Ze hebben geen schaamte, geen scrupules.
Hieronder ziet u afbeeldingen van de exponentiële groei van recent geregistreerde COVID-19-gerelateerde domeinen, evenals verwijzingen naar Coronavirus of COVID-19, geassocieerd met cyberaanvallen.
Registraties van COVID-19-gerelateerde domeinen per dag in 2020. Bron: recordfuture.com
Verwijzingen naar Coronavirus of COVID-19 gebruikt in verband met cyberaanvallen en cyberexploits binnen twee maanden. Bron: recordfuture.com
De nieuwste Coronavirus-gerelateerde malware om slachtoffers te claimen, is een wisser met dezelfde naam. Geïnspireerd door de huidige COVID-19-pandemie, die mensen wereldwijd verontrust, kozen de cybercriminelen achter de aanval ervoor het Coronavirus te noemen.
Onderzoekers ontdekten dat de Coronavirus-wisser werkt als een gevaarlijke en destructieve Trojan. Vanwege dat feit noemen gebruikers het niet alleen Coronavirus-wisser, maar ook Coronavirus Trojan. Zijn favoriete slachtoffer? Windows-gebruikers.
De Coronavirus-wisser overschrijft uw master-opstartrecord (MBR) en de aanvalsstrategie herinnert experts aan die van NotPetya-wisser . De NotPetya-dreiging zwierf in 2017 rond op het web en plaagde gebruikers. De aanvankelijke gelijkenis tussen de twee wissers baarde de beveiligingsexperts enorm zorgen. Dat komt omdat NotPetya, in zijn bloei, verbazingwekkende cijfers trok na zijn aanvallen, meer dan $ 10 miljard, om precies te zijn. Om u te helpen dat op schaal te brengen, kostte zelfs de WannaCry-campagne, die de wereld in een stroomversnelling bracht, de slachtoffers tussen de 4 en 8 miljard dollar.
Niets komt in de buurt van de prestaties van NotPetya. Dat is de reden waarom experts ernstige zorgen deelden dat de Coronavirus-wisser in de voetsporen van NotPetya kan treden. Gelukkig voor de meesten is de nieuw vervaardigde malware niet te vergelijken met de gigantische explosie uit het verleden - NotPetya. Beveiligingsexperts schatten dat de Coronavirus-wisser verreweg niet de ergste infectie is die u kunt tegenkomen, maar geef aan dat u deze ook niet moet onderschatten.
Table of Contents
Hoe verspreidt de Coronavirus-wisser zich?
In deze onzekere tijden, waarin mensen vrezen voor hun gezondheid, gezin, inkomen en werkzekerheid, jagen de kwaadaardige oplichters achter de dreiging op hun angsten. De malware wordt verspreid via een malvertisingcampagne. De cybercriminelen die erachter zitten, sturen een hele reeks phishing-e-mails met de infectie en doen hun best om massacorruptie te voorkomen. Ze maken hun corrupte e-mails zo aantrekkelijk mogelijk en beloven financiële verlichting voor eventuele problemen veroorzaakt door de pandemie. Ze lokken je ertoe hun aansprekende leugens te vertrouwen en gaan je vervolgens misleiden om de malware in je systeem toe te staan. Dat gebeurt alleen als je de inhoud van de e-mail gelooft en een kwaadaardige bijlage downloadt, op een beschadigde link drukt of doet wat de e-mail je anders ook maar opdraagt.
E-mails zijn een van de meest gebruikte invasieve manieren om infecties te veroorzaken. Als je dat weet, doe dan je best om extra oplettend te zijn als je er een krijgt. Controleer nogmaals alle informatie die u ziet, verifieer de afzender als legitiem, klik op niets zonder deze als betrouwbaar te verifiëren. Die waakzaamheid kan je redden van een wirwar van problemen.
Uiteraard zijn spam-e-mailcampagnes niet de enige methode waarmee malwaretools zich bezighouden als het gaat om infiltratie. Ze wenden zich tot peer-to-peer (p2p) -netwerken, freeware, nep-torrents en nep-applicaties. Ze hebben een keur aan trucs en het is aan jou om hun bedrog te herkennen en te voorkomen dat ze je machine binnendringen.
Een diagram met de werking van een spam-phishingcampagne. Bron: heimdalsecurity.com
Wat gebeurt er na de invasie?
Als de pogingen tot infiltratie van de infectie slagen en deze op uw pc terechtkomt, kunt u dit verwachten. Zodra het is uitgevoerd, begint de malware het corruptieproces door een reeks helperbestanden te installeren. Ze worden in een tijdelijke map geplaatst. Een installatieprogramma in de vorm van een hulpbestand met de naam '' coronavirus.bat '' zet de aanval van de infectie op door een verborgen map te maken. Het heet "COVID-19" en het zit boordevol met eerder gedropte hulpbestanden. Het doel van die zet is om ervoor te zorgen dat de malware zo lang mogelijk verborgen blijft. Die extra onderduiktijd stelt hem in staat de schade te veroorzaken waarvoor hij is ontworpen.
Zodra dat is gebeurd, en de map wordt gemaakt en nu de hulpbestanden herbergt, schakelt het installatieprogramma ("coronavirus.bat") Windows Task Manager en User Access Control (UAC) uit. Dat is weer een poging tot verduistering. Vervolgens blijft het uw achtergrond wijzigen en schakelt u uw opties uit om de achtergrond toe te voegen of te wijzigen. Daar stopt het niet, het voegt ook vermeldingen toe aan het register. Al deze acties worden uitgevoerd voor het voortbestaan van de infectie op uw pc. Zodra de malware ermee klaar is, wordt deze opnieuw opgestart en is het installatieproces voltooid.
Vervolgens maakt een proces met de naam run.exe een batchbestand met de naam run.bat. Run.bat zorgt ervoor dat de registerwijzigingen, uitgevoerd door het "coronavirus.bat" -installatieprogramma, intact blijven tijdens het opnieuw opstarten. Zodra het herstartproces is beëindigd, voert de malware twee binaire bestanden uit. Een ervan laat je een venster zien met een afbeelding van Coronavirus, waarop ook twee knoppen worden weergegeven. Dat binaire bestand heet "mainWindow.exe." Helemaal bovenaan dat venster vindt u een melding die u informeert dat "coronavirus uw pc heeft geïnfecteerd!" De twee knoppen delen de tekst 'Virus verwijderen' en 'Help'. De "Verwijder virus" doet niets, maar de "Help" geeft een ontmoedigend bericht weer om u te laten 'stoppen met proberen uw computer te repareren'.
Afbeelding van het venster met de twee knoppen, met de vermelding "coronavirus heeft uw pc besmet!" Bron: zdnet2.cbsistatic.com
Het tweede binaire is degene die de volledige aanval lanceert, en het is degene die de MBR overschrijft. Experts hebben ontdekt dat uw originele MBR wordt geback-upt in de eerste sector en pas daarna wordt overschreven door een nieuwe en de MBR wordt overschreven door de nieuwe code.
'Uw computer is weggegooid.'
De Coronavirus-wisser slaat toe en het verandert uw schijf in een volledig onbruikbare schijf. Nadat het de MBR heeft overschreven, wordt u geconfronteerd met een leeg grijs scherm en een knipperende cursor, met alleen de woorden "Uw computer is weggegooid" naar u terug te staren.
Het bericht "Uw computer is weggegooid" nadat de Coronavirus-wisser is aangeslagen. Bron: media.threatpost.com
Nadat de malware uw MBR heeft herschreven, wordt uw computer opnieuw opgestart en kan de nieuwe MBR worden uitgevoerd en wordt u geblokkeerd in een pre-boot-scherm. Op dit moment hebt u geen toegang meer tot uw pc. Onderzoekers verzekeren gebruikers dat ze uiteindelijk weer toegang kunnen krijgen tot hun pc's, maar daarvoor hebben ze speciale applicaties nodig. Degenen die werden gebruikt om de MBR te herstellen en opnieuw op te bouwen naar een werkende staat. Maar volgens malware-experts, zelfs als het u niet lukt om uw MBR te herstellen, kunt u nog steeds toegang krijgen tot uw gegevens en deze herstellen door de schijf te monteren.
Als u de rommel niet wilt aanpakken, springt de Coronavirus-wisser op u, vergeet niet op uw hoede te zijn. Waakzaamheid helpt u bij het opsporen van pogingen van cybercriminelen om infecties op u af te dringen. Wees dus grondig, betrap ze op heterdaad en belemmer hun succes. Houd uw hoede en houd uw systeem vrij van infecties.
