Ahora hay malware COVID-19 que borrará su Computer system y reescribirá su MBR


Con el coronavirus (COVID-19) pandemia de todo el mundo, algunos autores de malware han desarrollado malware que destruye los sistemas infectados, ya sea borrando archivos o reescribiendo el registro de arranque maestro (MBR) de una computadora.

Con la ayuda de la comunidad infosec, ZDNet ha identificado al menos cinco cepas de malware, algunas distribuidas en la naturaleza, mientras que otras parecen haber sido creadas solo como pruebas o bromas.

El tema común entre las cuatro muestras es que usan un tema de coronavirus y están orientados hacia la destrucción, en lugar de la ganancia financiera.

Malware de reescritura de MBR

De las cuatro muestras de malware encontradas por los investigadores de seguridad el mes pasado, las más avanzadas fueron las dos muestras que reescribieron los sectores MBR.

Se necesitaban conocimientos técnicos avanzados para crear estas cepas, ya que jugar con un registro de arranque maestro no es tarea fácil y podría dar lugar fácilmente a sistemas que no arrancaran en absoluto.

La primera de las regrabadoras MBR fue descubierto por un investigador de seguridad que se conoce con el nombre de MalwareHunterTeam, y detallado en un informe de SonicWall esta semana. Usando el nombre de COVID-19.exe, este malware infecta una computadora y tiene dos etapas de infección.

En la primera fase, solo muestra una ventana molesta que los usuarios no pueden cerrar porque el malware también ha deshabilitado el Administrador de tareas de Windows.

coronaimage.png

Imagen: SonicWall

Mientras los usuarios intentan lidiar con esta ventana, el malware reescribe silenciosamente el registro maestro de arranque de la computadora a sus espaldas. Luego reinicia la Computer system, y el nuevo MBR se activa, bloqueando a los usuarios en una pantalla de prearranque.

Los usuarios eventualmente pueden recuperar el acceso a sus computadoras, pero necesitarán aplicaciones especiales que puedan usarse para recuperar y reconstruir el MBR a un estado de funcionamiento.

mbr-msg.png "src =" https://zdnet3.cbsistatic.com/hub/i/2020/04/02/51cf9c44-d68d-4d73-beda-2a948edb371b/mbr-msg.png

Imagen: SonicWall

Pero hubo una segunda variedad de malware con temática de coronavirus que reescribió el MBR. Esta es una operación de malware mucho más complicada.

Se hizo pasar por el «ransomware CoronaVirus», pero era solo una fachada. La función principal del malware period robar contraseñas de un host infectado y luego imitar el ransomware para engañar al usuario y enmascarar su verdadero propósito.

Sin embargo, tampoco period ransomware. Solo se hizo pasar por uno. Una vez que las operaciones de robo de datos terminaron, el malware entró en una fase en la que reescribió el MBR y bloqueó a los usuarios en un mensaje previo al inicio, evitando el acceso a sus Personal computer. Dado que los usuarios ven notas de rescate y luego no pueden acceder a sus Computer system, lo último que deberían hacer los usuarios es verificar si alguien extrajo las contraseñas de sus aplicaciones.

coronavirus-rw.png "src =" https://zdnet3.cbsistatic.com/hub/i/2020/04/02/d9833418-4c68-4841-98cd-57865762c3ce/coronavirus-rw.png

Imagen: Bleeping Personal computer

Según el análisis del investigador de seguridad SentinelOne Vitali Kremez y Bleeping Laptop or computer, el malware también contenía código para borrar archivos en los sistemas del usuario, pero no parecía estar activo en la versión que analizaron.

Además, este también fue visto dos veces, con una segunda versión descubierta por el investigador de malware G Details Karsten Hahn, dos semanas después. Esta vez, el malware mantuvo las capacidades de reescritura de MBR pero reemplazó la función de borrado de datos con un bloqueador de pantalla funcional.

Limpiadores de datos

Pero los investigadores de seguridad han descubierto más que regrabadoras MBR con temática de coronavirus. También vieron dos limpiadores de datos.

Ambos fueron descubiertos por MalwareHunterTeam.

El primero fue visto en febrero. Usó un nombre de archivo chino, y probablemente se dirigió a usuarios chinos, aunque no tenemos información si se distribuyó en la naturaleza o fue solo una prueba.

El segundo fue visto ayer, y este fue encontrado cargado en el portal VirusTotal por alguien ubicado en Italia.

MalwareHunterTeam describió ambas cepas como «limpiadores deficientes» debido a los métodos ineficientes, propensos a errores y que consumen mucho tiempo que usaron para borrar archivos en sistemas infectados. Sin embargo, funcionaron, lo que los hizo peligrosos si alguna vez se extendieron en la naturaleza.

Puede parecer extraño que algunos autores de malware creen malware destructivo como este, pero no es la primera vez que esto sucede. Por cada cepa de malware motivada financieramente que los investigadores de seguridad descubren, también hay una creada como una broma, solo por las risas. Algo related sucedió durante el brote de ransomware WannaCry en 2017, cuando días después de que las computadoras cifradas con el ransomware WannaCry unique en todo el mundo, hubo innumerables clones haciendo lo mismo sin razón aparente.





Enlace a la noticia primary