با وجود همه گیری کروناویروس (COVID-19) در سراسر جهان ، برخی از تولیدکنندگان بدافزار، بدافزارهایی ایجاد کرده اند که سیستم های هدف را از کار می اندازند و یا با پاک کردن پرونده ها یا بازنویسی رکورد اصلی بوت کامپیوتر (MBR) رایانه میزبان را از کار می اندازد.
با کمک جامعه infosec سایت Zdnet حداقل پنج سویه بدافزار را شناسایی کرده است ، برخی از آنها در مناطق وسیعی توزیع شده است ، در حالی که به نظر می رسد برخی دیگر فقط به عنوان آزمایش یا شوخی ایجاد شده اند.
موضوع رایج در بین هر چهار نمونه این است که آنها از حساسیت همه گیری coronavirus استفاده می کنند و به جای سود مالی و اخاذی ، به سمت تخریب رایانه های آلوده می روند!
بدافزار بازنویسی MBR
از بین چهار نمونه بدافزار که ماه گذشته توسط محققان امنیتی یافت شده ، پیشرفته ترین آنها دو نمونه ای هستند که بخش های MBR دیسک سخت را بازنویسی می کنند.
تولید و برنامه نویسی برخی از بدافزار ها نیاز به دانش فنی بسیارپیشرفته ای دارد ، زیرا ضربه زدن به بوت مستر رایانه کار آسانی نیست.
اولین بازنویسی MBR توسط یک محقق امنیتی کشف شد که به نام MalwareHunterTeam معروف است .این بدافزار با استفاده از نام COVID-19.exe ، یک کامپیوتر را آلوده کرده و دو مرحله دارد.
در مرحله اول ، فقط یک پنجره آزار دهنده نشان می دهد که کاربران نمی توانند آن را ببندند زیرا این بدافزار همچنین Windows Task Manager را غیرفعال می کند.
در حالی که کاربران سعی در کنار آمدن با این پنجره دارند ، این بدافزار در سکوت در حال بازنویسی بوت مستر رایانه در بک اند است. سپس رایانه را مجدداً راه اندازی می کند و MBR جدید شروع به کار می کند و کاربران را به صفحه پیش بوت آن مسدود می کند.
در نهایت کاربران می توانند دسترسی به رایانه های خود را مجدداً به دست آورند ، اما به برنامه های ویژه ای احتیاج دارند که بتواند MBR را باز سازی کرده و اطلاعات از دست رفته را باز یابی کند.
اما دومین بدافزار با مضمون coronavirus وجود دارد که MBR را دوباره نویسی می کند.عملیات این بدافزار بسیار پیچیده تر است.
وظیفه اصلی این بدافزار دزدیدن رمزهای عبور از میزبان آلوده و سپس تقلید از باج افزار برای فریب کاربر و نقاب زدن هدف واقعی آن بود.
با این حال ، این مورد باج افزار نبوده و پس از پایان عملیات سرقت داده ها ، این بدافزار وارد مرحله باز نویسی MBR می شود ، و کاربران را به یک پیام پیش بوت مبنی بر اینکه تمام فایل های شما قفل شده اند و به کاربر نشانی کیف بیت کوین را برای واریزی نشان می دهد.
طبق آنالیز محقق امنیتی SentinelOne Vitali Kremez و Bleeping Computer ، این بدافزار حاوی کد برای پاک کردن پرونده ها روی سیستم های کاربر است ، اما به نظر نمی رسد این نسخه در آنالیزی که آنها انجام داده اند، فعال باشد.
علاوه بر این بدافزار فوق دو بار کشف شده است و نسخه دوم آن را دو هفته بعد محققین بدافزار G DATA کشف کردند. این بار ، این بدافزار قابلیت بازنویسی MBR را حفظ کرده اما ویژگی پاک سازی داده ها را با یک قفل صفحه نمایش عملکردی جایگزین کرده بود.
پاک کننده های داده (DATA WIPERS)
اما محققان امنیتیMalwareHunterTeam بیشتر از بازنویسان MBR با مضمون coronavirus ،دو مورد دیتا وایپر (پاک کن داده) را نیز مشاهده کردند.
اولین مورد در ماه فوریه مشاهده شد. اولی از یک نام پرونده چینی استفاده می کرد ، و به احتمال زیاد کاربران چینی را هدف قرار می داد ، اما آنها اطلاعاتی درمورد توزیع در فضای همه گیری بدست نیاورده اند.
دومین مورد در روز چهارشنبه مشاهده شد که توسط شخصی در ایتالیا از طریق پورتال VirusTotal بارگذاری شده است.
MalwareHunterTeam به دلیل روشهای ناکارآمد ، مستعد خطا ، و وقت گیر بودن آنها برای پاک کردن پرونده ها در سیستم های آلوده ، هر دو گونه را به عنوان “poor wipers” توصیف کرد.
