当心：新制作的冠状病毒擦除器恶意软件针对Windows用户

网络犯罪分子将当前的世界大流行状况看作是抢钱的机会。这些恶意的人抓住一切机会利用人们对COVID-19病毒的恐惧，使人们遭受困扰超过五个月。他们利用人们渴望获得与冠状病毒有关的信息并利用它来赚钱。他们制作假冒网站，伪造应用程序，伪造地图等。他们没有耻辱，没有顾忌。

在下面，您可以看到与网络攻击相关的最近注册的与COVID-19相关的域的指数增长以及对冠状病毒或COVID-19的引用。

2020年每天与COVID-19相关的域名注册。来源：recordedfuture.com

在两个月内与网络攻击和网络攻击相关的冠状病毒或COVID-19的引用。资料来源：recordedfuture.com

最新的与冠状病毒相关的恶意软件声称受害者是同名雨刷器。从当前的COVID-19大流行中汲取了“灵感”，使全世界的人们感到不安，攻击背后的网络骗子选择将其命名为冠状病毒。

研究人员发现，冠状病毒擦拭器的行为类似于危险的破坏性木马。因此，用户不仅称其为冠状病毒擦拭器，还称其为冠状病毒木马。它首选的受害者？ Windows用户。

冠状病毒刮水器会覆盖您的主启动记录（MBR），其攻击策略使专家想起了NotPetya刮水器 。 2017年，NotPetya威胁席卷了网络，困扰着用户。两个抽头之间的最初相似之处非常引起安全专家的关注。这是因为，NotPetya在遭受攻击之后，确切地说，在遭受攻击后，撤回了惊人的数字，超过100亿美元。为了帮助您扩大规模，甚至使世界陷入狂热的WannaCry活动最终也使受害者蒙受了40亿至80亿美元的损失。

没有什么比NotPetya的“成就”更接近。这就是为什么专家们都对冠状病毒刮水器可能会跟随NotPetya的脚步表示严重关注的原因。幸运的是，对于大多数人来说，这种新型恶意软件无法与过去的庞然大物NotPetya进行比较。安全专家估计，到目前为止，冠状病毒擦拭器并不是您可能遇到的最严重的感染，但是请声明这也不是您应该低估的一种。

冠状病毒刮片如何传播？

在这些不确定的时期，当人们担心自己的健康，家庭，收入和工作安全时，恶意软件会欺骗威胁，从而掠夺他们的恐惧。该恶意软件通过恶意广告活动传播。背后的网络罪犯发送大量的网络钓鱼电子邮件，进行感染，并尽最大努力确保大规模腐败。他们尽可能使诱人的电子邮件诱人，并承诺为因大流行引起的任何麻烦提供财务救济。他们诱使您相信自己的诱人谎言，然后欺骗您以允许恶意软件进入您的系统。仅当您相信电子邮件的内容，下载恶意附件，按损坏的链接或执行电子邮件敦促您执行的其他任何操作时，才会发生这种情况。

电子邮件是最常用的感染方式。知道这一点，尽力做到最好。仔细检查您看到的所有信息，验证发件人是否合法，单击任何内容而不验证其可靠性。这种警惕可以使您免于一连串的麻烦。

自然， 垃圾邮件活动并不是恶意软件工具渗透时所采用的唯一方法。他们转向对等（p2p）网络，免费软件，伪造的洪流和虚假应用程序。他们有很多技巧，您可以根据自己的喜好来发现自己的欺骗行为，并防止他们入侵您的计算机。

描绘垃圾邮件网络钓鱼活动的图表。资料来源：heimdalsecurity.com

入侵后会发生什么？

如果感染的渗透尝试成功完成，并且感染在您的PC上显示出来，这就是预期的结果。一旦执行，恶意软件将通过安装一系列帮助文件来开始其破坏过程。他们被放在一个临时文件夹中。安装程序以名为“ coronavirus.bat”的帮助程序文件的形式，通过制作一个隐藏文件夹来设置感染的攻击。它被称为“ COVID-19”，它充满了以前丢弃的帮助程序文件。此举的目的是确保恶意软件尽可能长时间隐藏。额外的隐藏时间使它能够执行设计要造成的损坏。

一旦完成，并创建了文件夹，并且现在包含帮助文件，安装程序（“ coronavirus.bat”）将禁用Windows任务管理器和用户访问控制（UAC）。那是对混淆的另一种尝试。然后，它将继续更改您的墙纸并禁用您添加或修改所述墙纸的选项。它不止于此，因为它还在注册表中添加了条目。完成所有这些操作以确保感染在PC上的持久性。一旦恶意软件完成操作，它就会重新启动，从而完成其安装过程。

然后，名为run.exe的进程将创建一个名为run.bat的批处理文件。 Run.bat确保由“ coronavirus.bat”安装程序执行的注册表修改在重新启动期间保持不变。重新启动过程结束后，恶意软件将执行两个二进制文件。其中一个显示一个带有冠状病毒图片的窗口，该窗口还显示两个按钮。该二进制文件称为“ mainWindow.exe”。在该窗口的顶部，您会看到一条通知，通知您“冠状病毒已感染您的PC！”。这两个按钮共享文本“删除病毒”和“帮助”。 “删除病毒”没有任何作用，但是“帮助”却显示令人沮丧的消息，使您“停止尝试修复计算机”。

用两个按钮描述窗口，指出“冠状病毒已感染您的PC！”资料来源：zdnet2.cbsistatic.com

第二个二进制文件是发起全面攻击的二进制文件，并且是覆盖MBR的二进制文件。专家发现，原始MBR会在第一个扇区中备份，只有在此之后，才会被新的MBR覆盖，而MBR会被新代码覆盖。

“您的计算机已被丢弃。”

冠状病毒擦拭器会击中，并将您的磁盘变成完全无法使用的磁盘。它覆盖了MBR之后，您将面对空白的灰色屏幕和闪烁的光标，只有字样“您的计算机已被垃圾回收”正盯着您。

冠状病毒刮水器击中后，“您的计算机已被破坏”消息。资料来源：media.threatpost.com

恶意软件重写您的MBR之后，它将重新启动计算机，并允许新的MBR运行并将您阻止到预启动屏幕中。此时，您将无法再访问PC。研究人员向用户保证，他们最终可以重新获得对PC的访问权限，但要这样做，他们将需要特殊的应用程序。用于恢复MBR并将其重建到工作状态的MBR。但是，据恶意软件专家称，即使您没有设法还原MBR，也仍然可以通过安装驱动器来访问和恢复数据。

如果您想避免处理混乱，可以使用冠状病毒刮水器，但要小心。警惕性可以帮助您发现网络犯罪分子企图向您施加感染的企图。因此，要彻底，抓住他们的举动，阻碍他们的成功。保持警惕，保持系统不受感染。