Осторожно: недавно созданная вредоносная программа Coronavirus Wiper предназначена для пользователей Windows
Киберпреступники смотрят на нынешнее пандемическое состояние мира как на не что иное, как на возможность получить деньги. Эти злоумышленники используют любую возможность, чтобы воспользоваться страхом людей в отношении вируса COVID-19, который преследует людей уже более пяти месяцев. Они эксплуатируют людей, жаждущих информации о коронавирусе, и используют ее для заработка денег. Они создают фиктивные сайты, фиктивные приложения, подделывают карты и так далее. У них нет ни стыда, ни сомнений.
Ниже вы можете увидеть изображения экспоненциального роста недавно зарегистрированных доменов, связанных с COVID-19, а также ссылки на коронавирус или COVID-19, связанные с кибератаками.
Регистрация доменов, связанных с COVID-19, в день в 2020 году. Источник: записано в будущем.
Ссылки на Коронавирус или COVID-19, используемые в связи с кибератаками и кибер-атаками в течение двух месяцев. Источник: записаноfuture.com
Последнее вредоносное ПО, связанное с Коронавирусом, которое утверждает, что оно является жертвой, - одноименное устройство очистки. Получив «вдохновение» от нынешней пандемии COVID-19, которая беспокоит людей во всем мире, киберкруки, стоящие за атакой, решили назвать ее Coronavirus.
Исследователи обнаружили, что очиститель Coronavirus действует как опасный и разрушительный троян. В связи с этим пользователи называют не только Coronavirus Wiper, но и Coronavirus Trojan. Его любимая жертва? Пользователи Windows.
Очиститель Coronavirus перезаписывает вашу основную загрузочную запись (MBR), а его стратегия атаки напоминает экспертам о NotPetya . Угроза NotPetya бродила по сети, изводя пользователей, в 2017 году. Первоначальное сходство между двумя дворниками очень беспокоило экспертов по безопасности. Это потому, что в самом начале, NotPetya набрал удивительные цифры после своих атак, а точнее, более 10 миллиардов долларов. Чтобы помочь вам в этом, даже кампания WannaCry, приведшая мир в бешенство, обошлась его жертвам в размере от 4 до 8 миллиардов долларов.
Ничто не приблизилось к «достижениям» НотПети. Вот почему эксперты разделяют серьезные опасения, что очиститель Coronavirus может последовать по стопам NotPetya. К счастью для большинства, недавно созданное вредоносное ПО не может сравниться с чудовищным взрывом прошлого - NotPetya. Эксперты по безопасности считают, что очиститель Coronavirus, безусловно, не самая страшная инфекция, с которой вы могли бы столкнуться, но утверждают, что ее нельзя недооценивать.
Table of Contents
Как распространяется стеклоочиститель Coronavirus?
В эти неопределенные времена, когда люди опасаются за свое здоровье, семью, доход и безопасность работы, злые мошенники, стоящие за угрозой, охотятся на их страхи. Вредонос распространяется через вредоносную кампанию. Киберпреступники, стоящие за этим, рассылают множество фишинговых писем с информацией о заражении и делают все возможное для обеспечения массовой коррупции. Они делают свои испорченные электронные письма настолько заманчивыми, насколько это возможно, обещая финансовое облегчение для любых проблем, вызванных пандемией. Они завлекают вас в доверие к своей привлекательной лжи, а затем начинают обманывать вас, позволяя проникнуть вредоносным программам в вашу систему. Это происходит только в том случае, если вы верите содержимому письма и загружаете вредоносное вложение, или нажимаете испорченную ссылку, или делаете что-либо еще, к чему вас призывает письмо.
Электронные письма являются одним из наиболее часто используемых инвазивных способов заражения. Зная это, сделайте все возможное, чтобы быть особенно внимательным, когда вы его получите. Дважды проверьте всю информацию, которую вы видите, убедитесь, что отправитель является законным, ничего не нажимайте, не аутентифицируя его как надежный Эта бдительность может спасти вас от водоворота проблем.
Естественно, кампании по рассылке спама - не единственный метод, к которому вредоносные инструменты обращаются, когда дело доходит до проникновения. Они превращаются в одноранговые (p2p) сети, бесплатные программы, поддельные торренты и фиктивные приложения. У них есть выбор трюков, и вы должны определить их обман и не дать им вторгнуться в вашу машину.
Диаграмма, показывающая работу фишинг-кампании. Источник: heimdalsecurity.com
Что происходит после вторжения?
Если попытки заражения проникнуть успешно, и он попадает на ваш компьютер, вот чего ожидать. После запуска вредоносная программа начинает процесс повреждения, устанавливая массив вспомогательных файлов. Они помещаются во временную папку. Установщик в виде вспомогательного файла с именем '' coronavirus.bat '' устанавливает атаку заражения, создавая скрытую папку. Он называется «COVID-19» и переполнен ранее удаленными вспомогательными файлами. Цель этого шага - обеспечить, чтобы вредоносное ПО оставалось скрытым как можно дольше. Это дополнительное время в укрытии позволяет ему наносить урон, который он получил.
Как только это будет сделано, папка будет создана и теперь содержит вспомогательные файлы, установщик («coronavirus.bat») отключает диспетчер задач Windows и контроль доступа пользователей (UAC). Это еще одна попытка запутывания. Затем он продолжает менять ваши обои и отключать ваши варианты, чтобы добавить или изменить эти обои. Это не останавливается там, поскольку это также добавляет записи в реестр. Все эти действия выполняются для сохранения заражения на вашем компьютере. Как только вредоносная программа заканчивает работу, она перезагружается и завершает процесс установки.
Затем процесс run.exe создает пакетный файл run.bat. Run.bat гарантирует, что изменения реестра, выполненные установщиком «coronavirus.bat», останутся без изменений во время перезагрузки. После завершения процесса перезагрузки вредоносная программа запускает два двоичных файла. В одном из них показано окно с изображением коронавируса, в котором также отображаются две кнопки. Этот бинарный файл называется mainWindow.exe. В самом верху этого окна вы найдете уведомление о том, что «коронавирус заразил ваш компьютер!» Две кнопки разделяют текст «Удалить вирус» и «Справка». Один «Удалить вирус» ничего не делает, но один «Справка» отображает обескураживающее сообщение, чтобы заставить вас «перестать пытаться починить ваш компьютер».
Изображение окна с двумя кнопками, гласящее: «Коронавирус заразил ваш компьютер!» Источник: zdnet2.cbsistatic.com
Второй двоичный файл - тот, который запускает полную атаку, и это тот, который перезаписывает MBR. Эксперты обнаружили, что ваша первоначальная MBR резервируется в первом секторе и только после этого перезаписывается новым, а MBR перезаписывается новым кодом.
«Ваш компьютер был уничтожен».
Пробивает стеклоочиститель Coronavirus, и он превращает ваш диск в совершенно непригодный для использования. После того, как он перезаписывает MBR, вы видите пустой серый экран и мигающий курсор, и на вас смотрят только слова «Ваш компьютер был поврежден».
Сообщение «Ваш компьютер был поврежден» после срабатывания очистителя Coronavirus. Источник: media.threatpost.com
После того, как вредоносная программа перезаписывает вашу MBR, она перезагружает ваш компьютер и позволяет новой MBR работать и блокирует вас на экране предварительной загрузки. На данный момент вы больше не можете получить доступ к вашему ПК. Исследователи уверяют пользователей, что в конечном итоге они смогут восстановить доступ к своим ПК, но для этого им потребуются специальные приложения. Ранее использовались для восстановления и восстановления MBR в рабочее состояние. Но, по мнению экспертов по вредоносным программам, даже если вам не удастся восстановить MBR, вы все равно сможете получить доступ и восстановить данные, подключив диск.
Если вы хотите избежать беспорядка, на вас обрушится стеклоочиститель Coronavirus, не забывайте об осторожности. Бдительность помогает вам обнаружить попытки киберпреступников навязать вам инфекцию. Так что будьте внимательны, поймайте их в действии и помешайте их успеху. Берегите себя и не допускайте заражения вашей системы.
