Новое вредоносное ПО на тему “коронавируса (Covid-19)” блокирует ваш Windows!
Когда школы закрыта из-за пандемии Covid-19, некоторые дети создают вредоносные программы, чтобы занять себя. Так обстоит дело с появлением множества новых вариантов MBRLocker, в том числе с темой Coronavirus.
MBRLockers – это программы, которые заменяют «master boot record» компьютера так, что она препятствует запуску операционной системы и вместо этого отображает окно блокировки доступа в Windows или другое сообщение которое блокирует доступ в ОС Windows.
Некоторые MBRLockers, такие как Petya и GoldenEye, также шифруют таблицу, содержащую информацию о разделах ваших дисков, что делает невозможным доступ к вашим файлам или восстановление MBR без ввода кода или возможности выкупа.
Первый MBRLocker с темой Coronavirus
На прошлой неделе MalwareHunterTeam обнаружил установщик нового вредоносного ПО с именем «Coronavirus», распространяемого в виде файла COVID-19.exe.
После установки вредоносная программа извлекает многочисленные файлы в папку % Temp%, а затем запускает “.bat” файл с именем Coronavirus.bat. Этот пакетный файл переместит извлеченные файлы в папку C:\COVID-19, настроит вредоносную программу для автоматического запуска при входе в систему, а затем перезапустит Windows.
После перезапуска Windows появится изображение Coronavirus и будет отображаться вместе с сообщением о том что “Coronavirus заразил ваш компьютер”!
Анализ проведенный компаниями SonicWall так и Avast, утверждают что будет также выполнена другая программа, которая создаст резервную копию главной загрузочной записи (MBR) загрузочного диска в другом месте и затем заменит ее на свою собственную MBR.
При перезагрузке созданный MBR отобразит сообщение Ваш компьютер был поврежден и Windows не запустится.
К счастью, анализ Avast показывает, что в созданный код в MBR вредоносным Трояном Coronovirus был добавлен обход, который позволяет вам восстановить исходную основную загрузочную запись, чтобы вы могли нормально загружаться. Это можно сделать, одновременно нажав клавиши CTRL + ALT + ESC.
Дальнейшие исследования BleepingComputer обнаружили еще один вариант от того же разработчика под названием «RedMist». При установке вместо изображения Coronavirus отображается изображение Squidward с надписью «Squidward наблюдает за вами».
Как и версия Coronavirus, этот вариант вируса предупредит вас что после перезагрузки вы больше не сможете получить доступ к Windows.
Этот вариант также поддерживает обход CTRL + ALT + ESC, чтобы вы могли восстановить исходный MBR.
Следует отметить, что эти Трояны не удаляют ваши данные и не уничтожают таблицу разделов (MBR). После восстановления MBR из хранилища резервных копий, позволит вам запустить Windows и снова получить доступ к вашим данным.
Читайте также про новый CoronaVirus Ransomware.
Постоянный поток MBRLockers появляются
BleepingComputer смог найти множество вариантов MBRLocker выпущенных за последнюю неделю, рассылка использовала разные сообщения с мэмами и внутри сообщений с шутками о covid-19!
Все эти варианты MBRLocker создаются с помощью общедоступных инструментов которые были показаны на YouTube и Discord. BleepingComputer не будет публиковать название инструмента с помощью которого можно создать такой вирус, чтобы предотвратить выпуск других вариантов.
Ниже приведен небольшой пример различных MBRLockers, выпущенных на этой неделе и созданных с помощью этой утилиты.
BleepingComputer считает, что все эти MBRLockers создаются для «развлечения» или как часть «шуток», которые можно разыграть на людях.
Несмотря на то что неизвестно с какой целью распространяют Трояны, злонамеренно пользователи или шуточно, вы должны быть особенно осторожны при запуске любых программ которыми пользуются другие люди в интернете, особенно на Discord, без предварительного сканирования их с помощью Антивирусными программами.
Источник: New Coronavirus-Themed Malware Locks You Out of Windows