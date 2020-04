За последний месяц количество вредоносных кампаний, которые каким-либо образом эксплуатируют тему COVID-19, увеличивается со скоростью лесного пожара. Так, вредоносные домены, посвященные коронавирусу уже исчисляются десятками тысяч, и даже взломанные роутеры пугают своих владельцев именно срочной информацией о пандемии.

Теперь эксперты заметили малварь, целенаправленно уничтожающую данные пострадавших пользователей и перезаписывающую MBR (Master Boot Record), что препятствует нормальному запуску системы.

Журналисты издания ZDNet пишут, что в общей сложности им удалось выявить четыре штамма подобных вайперов (wiper, от английского to wipe — «стирать»), которые объединяет эксплуатация темы коронавируса, а также ориентированность на уничтожение информации, а не на финансовую выгоду. Из четырех образцов малвари, обнаруженных ИБ-исследователями в прошлом месяце, наиболее продвинутыми оказались два, переписывающие MBR.

Так, первый вайпер был обнаружен MalwareHunterTeam и подробно описан в отчете компании SonicWall на этой неделе. Эта малварь распространяется как файл COVID-19.exe и имеет два этапа заражения.

На первом этапе вредонос просто демонстрирует раздражающее окно, которое пользователи не могут закрыть, так как малварь уже отключила диспетчер задач Windows. Но пока пользователи пытаются разобраться с окном, малварь повреждает MBR, а затем перезагружает ПК. В итоге пользователь оказывается блокирован, а система не загружается дальше экрана предварительной загрузки.

К счастью, в данном случае восстановить доступ к машине и данным возможно, хотя для этого понадобится специальный софт для восстановления MBR.

Второй штамм «коронавирусной» малвари тоже перезаписывает MBR, но выглядит уже более сложным. На первый взгляд, это лишь очередной вымогатель с названием CoronaVirus, однако это лишь прикрытие. Основная функция этой малвари — хищение паролей с зараженного хоста, а затем имитация вымогательской деятельности, призванная скрыть от жертвы реальное положение дел.

Дело в том, что как только CoronaVirus похитил данные жертвы, он перезаписывает MBR и тем самым блокирует систему пользователя, фактически лишая жертву доступа к ПК. Так как на этом этапе пользователь видит сообщение с требованием выкупа и информацию о том, что его данные зашифрованы, вряд ли ему сразу придет в голову, что нужно проверить, не похитил ли кто-нибудь пароли от приложений.

Согласно анализу компании SentinelOne, ИБ-эксперта Виталия Кремеза и издания Bleeping Computer, данная малварь также содержит код для стирания файлов с машины жертвы, однако на момент изучения вредоноса этот код не был активен.

Вторая версия этой же угрозы была замечена экспертом компании G DATA Карстеном Ханом две недели спустя. Малварь сохранила возможность перезаписи MBR, однако заменила неактивную функцию стирания данных на работающий блокировщик экрана.

At first this seems like a simple screenlocker, but it infects the MBR as well.

Same MBR as the Coronavirus ransomware found by @malwrhunterteam



The MBR is from a builder by someone called #WobbyChip. https://t.co/DRcNsOq8bu pic.twitter.com/MAAItcaGgI