如果近日電腦突然自動重新開機,然後跳出無法關閉的 新冠狀病毒(COVID-19,俗稱武漢肺炎 病毒圖片,而且視窗右上方通常被用來關閉的按鈕也無法發揮作用,那可能就是中了最新的肺炎電腦病毒新增案例 Coronavirus 病毒 。
以Coronavirus 為名的最新病毒,覆蓋系統開機磁區(MBR)
趨勢科技研究人員最近分析了一種用新冠狀病毒(COVID-19,俗稱武漢肺炎)作為主題的惡意軟體,它會覆蓋系統的開機磁區(MBR),使得電腦無法開機。在捷克網路安全機構(NUKIB)所發表的一份公開報告裡詳細介紹了此惡意軟體。這惡意軟體的檔案說明 文字寫著: ”Coronavirus Installer(冠狀病毒安裝程式)”。
“coronavirus has infected your PC!”關不掉的遭感染警告訊息
當惡意程式執行時,它會自動將電腦重新開機,然後顯示一個含有病毒圖片且無法關閉的視窗,視窗右上角的關閉按鈕已無作用 。
點一下畫面左下方的「Help」(說明) 按鈕,會出現一個訊息告訴使用者不用浪費時間嘗試打開「工作管理員」,因為它已無法開啟。視窗右下角「Remove virus」(移除病毒) 按鈕看起來好像可以提供解決之道,但卻處於灰色狀態無法點選,就算是連上網路,此按鈕還是無法點選。
PC-cillin不只防毒也防詐騙 ✓手機✓電腦✓平板,跨平台防護3到位➔ 》即刻免費下載試用
除此之外,惡意程式還會建立一個名為「COVID-19」的隱藏資料夾,裡面包含多個輔助模組。如果將電腦手動重新開機,就會執行另一個檔案並顯示一個灰色畫面 (如下圖)。
駭客:要解救你的電腦,請用 Discord 跟我聯絡
惡意程式會將原始的主要開機磁區 (MBR) 備份起來,然後在畫面上顯示一串文字:「Created by Angel Castillo.Your Computer Has Been Trashed.」(作者 Angel Castillo,您的電腦已損毀)。此外,畫面上還會提供 Discord 連絡資訊,換句話說,要解決這問題就必須跟駭客聯繫。
如果是勒索病毒,通常會提供轉帳資訊給受害者,並且提出確切的金額與虛擬加密貨幣錢包位址來讓受害者支付贖金。但近期的一些案例顯示,許多惡意程式犯罪集團已改用 Discord 來提供受害者進一步的訊息。
很多駭客都是一開始就直接將 MBR 清除,所以這個惡意程式的手法似乎有點過於複雜。惡意程式的輔助模組會產生一個名為「Update.vbs」的檔案,從這個檔案大約可以看出駭客為什麼會設計這樣的流程。這個 VBS 檔按會顯示一個訊息方塊告訴使用者必須連上網際網路 (大概在前述灰色畫面出現之後兩分鐘就會顯示這個訊息)。
使用者必須連上網際網路的原因很可能是受害者電腦必須連上網路之後才會覆寫 MBR。當我們在封閉、離線的環境下測試手動重新開機時,MBR 並不會被覆寫。
以軍事單位作為目標的駭客集團 SideWinder, 也搭上肺炎熱
除前述惡意程式之外, 趨勢科技研究人員 也分析了一個利用冠狀病毒為主題的惡意 HTA 檔案,其背後的作者很可能是「SideWinder」APT 集團。根據其幕後操縱 (C&C) 基礎架構以及它會連線至巴基斯坦軍方的狀況來看,很可能 SideWinder 正在利用冠狀病毒為誘餌。
SideWinder 是一個專門攻擊軍事單位的駭客集團,他們最近一次較值得關注的活動,是今年初我們在 Google Play 商店上發現的多款惡意應用程式 。
此處說的 HTA 檔案會彈出一個 PDF 誘餌,內容是一個巴基斯坦軍人的照片以及一個可點選的標題,背後會連上以下網址 (已被列入趨勢科技的攔截清單):
- hxxp[://www.d01fa[.net/plugins/16364/11542/true/true/
- hxxp[://www.d01fa[.net/cgi/8ee4d36866/16364/11542/58a3a04b/file.hta
- hxxps[://cloud-apt[.net/202/6eX0Z6GW9pNVk25yO0x7DqKJzaNm6LIRaR0GCukX/16364/11542/2a441439
@原文出處:Developing Story: COVID-19 Used in Malicious Campaigns
💝▎每月7 日下午 4 點 , 趨勢科技 IG 帳號,Fun 送粉絲獨享禮 ▎💝
) 快進來看看 🙂
