Новый вирус «CoronaVirus Ransomware» выступает в качестве прикрытия для настоящей угрозы «Kpot Infostealer»
Новый вымогатель под названием CoronaVirus был распространен через фальшивый веб-сайт, претендующий на продвижение программного обеспечения и утилит для оптимизации и защиты системы от WiseCleaner.
С ростом опасений по поводу вспышки Коронавируса (COVID-19) злоумышленник начал строить кампанию по распространению коктейля вредоносных программ, состоящего из вымогателя CoronaVirus и Trojan Kpot, похищающего информацию.
Это новое вымогательское ПО (ransomware) было обнаружено MalwareHunterTeam и после дальнейшего изучения источника и файлов они смогли определить как злоумышленники ответственные за угрозу планировали распространение Троянов вымогателей и нашли возможные подсказки свидетельствующие о том что это может быть вирус Wiper -(вирус стирающий информацию с жесткого диска).
CoronaVirus Ransomware распространяется через поддельный сайт WiseCleaner.
Для распространения вредоносного ПО злоумышленники создали веб-сайт, который идентичный сайту официальному WiseCleaner.com с системными утилиты Windows.
Загрузки на этом сайте неактивны, но они распространили файл WSHSetup.exe, который в настоящее время выполняет функцию загрузчика как для вымогателя CoronaVirus, так и для Trojan под названием Kpot который крадет пароли.
Когда программа выполняется, она будет пытаться загрузить различные файлы с удаленного веб-сайта. В настоящее время для скачивания доступны только file1.exe и file2.exe, но вы можете видеть, что он пытается загрузить всего семь файлов.
Первым загруженным файлом является file1.exe, который представляет собой троян Kpot для кражи паролей.
Затем эта информация загружается на удаленный сайт, управляемый злоумышленниками.
Второй файл file2.exe — это CoronaVirus Ransomware, который будет использоваться для шифрования файлов на компьютере.
При шифровании файлов будут использоваться только те файлы, которые содержат следующие расширения:
.bak, .bat, .doc, .jpg, .jpe, .txt, .tex, .dbf, .xls, .cry, .xml, .vsd, .pdf, .csv,
.bmp, .tif, .tax, .gif, .gbr, .png, .mdb, .mdf, .sdf, .dwg, .dxf, .dgn, .stl,
.gho, .ppt, .acc, .vpd, .odt, .ods, .rar, .zip, .cpp, .pas, .asm, .rtf, .lic,
.avi, .mov, .vbs, .erf, .epf, .mxl, .cfu, .mht, .bak, .oldЗашифрованные файлы будут переименованы с сохранением расширения у файла, а имя файла будет изменено на адрес электронной почты злоумышленника. Например, test.jpg будет зашифрован и переименован в «coronaVi2022@protonmail.ch___1.jpg».
В некоторых случаях, как показано ниже, адрес электронной почты может добавляться к имени файла несколько раз.
В каждой зашифрованной папке и на рабочем столе будет создана записка с именем CoronaVirus.txt где будет информация для выкупа, которая требует биткойны в размере 0,008 (~ $ 50) на жестко закодированный биткойн-адрес bc1qkk6nwhsxvtp2akunhkke3tjcy2wv2zkk00xa3j, который еще не получил никаких платежей.
Вымогатель также переименует диск C: в CoronaVirus, как показано ниже на картинке, что ни чем не грозит кроме как шутки над жертвой.
При перезагрузке вымогатель отобразит экран блокировки до загрузки Windows, отображающий тот же текст из записки с требованием выкупа, как показано ниже.
Также мы писали уже о новом Coronavirus, который портит ваш MBR, советуем изучить.
Глава SentinelLabs Vitali Kremez сказал BleepingComputer, что это отображается в результате изменения значения реестра HKEY_LOCAL_MACHINE\SYSTEM \CurrentControlSet\Control\Session Manager «BootExecute», который запускает исполняемый файл из папки %Temp% перед загрузкой всех служб Windows при загрузке.
Через 45 минут экран блокировки переключится на немного другое сообщение, где вы все еще не можете ничего сделать чтобы загрузить свою систему.
Через 15 минут компьютер загрузит обратно Windows и при входе в систему отобразит файлы для выкупа CoronaVirus.txt.
Это странный вымогатель и до сих пор анализируется на наличие слабых сторон.
Основываясь на низкой сумме выкупа, статическом адресе биткойнов и политическом сообщении, существует серьезное подозрение, что это вымогательство используется в большей степени в качестве прикрытия для заражения компьютера Трояном Kpot, а не для создания фактических выкупных платежей.
Теория BleepingComputer заключается в том, что компонент вымогателей используется чтобы отвлечь пользователя от осознания того что троян Kpot крадет информацию, а также был установлен для кражи паролей, файлов cookie и кошельков криптовалют.
Всем, кто пострадал от этой атаки, следует немедленно использовать другой компьютер для изменения всех своих сетевых паролей, поскольку они были скопированы на сервера злоумышленников Трояном Kpot.
