當心:新製作的冠狀病毒擦除器惡意軟件針對Windows用戶
網絡犯罪分子將當前的世界大流行狀況看作是搶錢的機會。這些惡意的人抓住一切機會利用人們對COVID-19病毒的恐懼,使人們遭受困擾超過五個月。他們利用人們渴望獲得與冠狀病毒有關的信息並利用它來賺錢。他們製作假冒網站,偽造應用程序,偽造地圖等。他們沒有恥辱,沒有顧忌。
在下面,您可以看到與網絡攻擊相關的最近註冊的與COVID-19相關的域的指數增長以及對冠狀病毒或COVID-19的引用。
2020年每天與COVID-19相關的域名註冊。來源:recordedfuture.com
在兩個月內與網絡攻擊和網絡攻擊相關的冠狀病毒或COVID-19的引用。資料來源:recordedfuture.com
最新的與冠狀病毒相關的惡意軟件聲稱受害者是同名雨刷器。從當前的COVID-19大流行中汲取了“靈感”,使全世界的人們感到不安,攻擊背後的網絡騙子選擇將其命名為冠狀病毒。
研究人員發現,冠狀病毒擦拭器的行為類似於危險的破壞性木馬。因此,用戶不僅稱其為冠狀病毒擦拭器,還稱其為冠狀病毒木馬。它首選的受害者? Windows用戶。
冠狀病毒刮水器會覆蓋您的主啟動記錄(MBR),其攻擊策略使專家想起了NotPetya刮水器 。 2017年,NotPetya威脅席捲了網絡,困擾著用戶。兩個抽頭之間的最初相似之處非常引起安全專家的關注。這是因為,NotPetya在遭受攻擊之後,確切地說,在遭受攻擊後,撤回了驚人的數字,超過100億美元。為了幫助您擴大規模,甚至使世界陷入狂熱的WannaCry活動最終也使受害者蒙受了40億至80億美元的損失。
沒有什麼比NotPetya的“成就”更接近。這就是為什麼專家們都對冠狀病毒刮水器可能會跟隨NotPetya的腳步表示嚴重關注的原因。幸運的是,對於大多數人來說,這種新型惡意軟件無法與過去的龐然大物NotPetya進行比較。安全專家估計,到目前為止,冠狀病毒擦拭器並不是您可能遇到的最嚴重的感染,但是請聲明這也不是您應該低估的一種。
Table of Contents
冠狀病毒刮片如何傳播?
在這些不確定的時期,當人們擔心自己的健康,家庭,收入和工作安全時,惡意軟件會欺騙威脅,從而掠奪他們的恐懼。該惡意軟件通過惡意廣告活動傳播。背後的網絡罪犯發送大量的網絡釣魚電子郵件,進行感染,並儘最大努力確保大規模腐敗。他們盡可能使誘人的電子郵件誘人,並承諾為因大流行引起的任何麻煩提供財務救濟。他們誘使您相信自己的誘人謊言,然後欺騙您以允許惡意軟件進入您的系統。僅當您相信電子郵件的內容,下載惡意附件,按損壞的鏈接或執行電子郵件敦促您執行的其他任何操作時,才會發生這種情況。
電子郵件是最常用的感染方式。知道這一點,盡力做到最好。仔細檢查您看到的所有信息,驗證發件人是否合法,單擊任何內容而不驗證其可靠性。這種警惕可以使您免於一連串的麻煩。
自然, 垃圾郵件活動並不是惡意軟件工具滲透時所採用的唯一方法。他們轉向對等(p2p)網絡,免費軟件,偽造的洪流和虛假應用程序。他們有很多技巧,您可以根據自己的喜好來發現自己的欺騙行為,並防止他們入侵您的計算機。
描繪垃圾郵件網絡釣魚活動的圖表。資料來源:heimdalsecurity.com
入侵後會發生什麼?
如果感染的滲透嘗試成功完成,並且感染在您的PC上顯示出來,這就是預期的結果。一旦執行,惡意軟件將通過安裝一系列幫助文件來開始其破壞過程。他們被放在一個臨時文件夾中。安裝程序以名為“ coronavirus.bat”的幫助程序文件的形式,通過製作一個隱藏文件夾來設置感染的攻擊。它被稱為“ COVID-19”,它充滿了以前丟棄的幫助程序文件。此舉的目的是確保惡意軟件盡可能長時間隱藏。額外的隱藏時間使它能夠執行設計要造成的損壞。
一旦完成,並創建了文件夾,並且現在包含幫助程序文件,安裝程序(“ coronavirus.bat”)將禁用Windows任務管理器和用戶訪問控制(UAC)。那是對混淆的另一種嘗試。然後,它將繼續更改您的牆紙並禁用您添加或修改所述牆紙的選項。它不止於此,因為它還在註冊表中添加了條目。完成所有這些操作以確保感染在PC上的持久性。一旦惡意軟件完成操作,它就會重新啟動,從而完成其安裝過程。
然後,名為run.exe的進程將創建一個名為run.bat的批處理文件。 Run.bat確保由“ coronavirus.bat”安裝程序執行的註冊表修改在重新啟動期間保持不變。重新啟動過程結束後,惡意軟件將執行兩個二進製文件。其中一個顯示一個帶有冠狀病毒圖片的窗口,該窗口還顯示兩個按鈕。該二進製文件稱為“ mainWindow.exe”。在該窗口的頂部,您會看到一條通知,通知您“冠狀病毒已感染您的PC!”。這兩個按鈕共享文本“刪除病毒”和“幫助”。 “刪除病毒”沒有任何作用,但是“幫助”卻顯示令人沮喪的消息,使您“停止嘗試修復計算機”。
用兩個按鈕描述窗口,指出“冠狀病毒已感染您的PC!”資料來源:zdnet2.cbsistatic.com
第二個二進製文件是發起全面攻擊的二進製文件,並且是覆蓋MBR的二進製文件。專家發現,原始MBR會在第一個扇區中備份,只有在此之後,才會被新的MBR覆蓋,而MBR會被新代碼覆蓋。
“您的計算機已被丟棄。”
冠狀病毒擦拭器會擊中,並將您的磁盤變成完全無法使用的磁盤。它覆蓋了MBR之後,您將面對空白的灰色屏幕和閃爍的光標,只有單詞“您的計算機已被廢棄”正盯著您。
冠狀病毒刮水器擊中後,“您的計算機已被破壞”消息。資料來源:media.threatpost.com
惡意軟件重寫您的MBR之後,它將重新啟動計算機,並允許新的MBR運行並將您阻止到預啟動屏幕中。此時,您將無法再訪問PC。研究人員向用戶保證,他們最終可以重新獲得對PC的訪問權限,但要這樣做,他們將需要特殊的應用程序。用於恢復MBR並將其重建到工作狀態的MBR。但是,據惡意軟件專家稱,即使您沒有設法還原MBR,也仍然可以通過安裝驅動器來訪問和恢復數據。
如果您想避免處理混亂,可以使用冠狀病毒刮水器,但要小心。警惕性可以幫助您發現網絡犯罪分子企圖向您施加感染的企圖。因此,要徹底,抓住他們的舉動,阻礙他們的成功。保持警惕,保持系統不受感染。