Об этом сообщает издание ZDNet.

Отмечается, что эксперты заметили малварь (англ. malware, вредоносная программа, которая препятствует работе компьютера, собирает конфиденциальную информацию или получает доступ к частным компьютерным системам), которая целенаправленно уничтожает данные пострадавших пользователей и перезаписывает MBR (анг. Master Boot Record, – код и данные, необходимые для последующей загрузки операционной системы и расположенные в первых физических секторах на жёстком диске или другом устройстве хранения информации), что препятствует нормальному запуску системы.

По данным журналистов, в общей сложности удалось выявить четыре штамма подобных вайперов (wiper, что в переводе с английского “стирать”, – вид вредоносного ПО, цель которого — уничтожить данные на диске компьютера-жертвы), которые объединяет эксплуатация темы коронавируса. Из четырех образцов малвари, обнаруженных ИБ-исследователями, наиболее продвинутыми оказались два, переписывающие MBR.

Первый вайпер был обнаружен MalwareHunterTeam. По данным компании SonicWall, эта малварь распространяется как файл COVID-19.exe и имеет два этапа заражения.

На первом этапе вредонос просто демонстрирует раздражающее окно, которое пользователи не могут закрыть, так как малварь уже отключила диспетчер задач Windows. Но пока пользователи пытаются разобраться с окном, малварь повреждает MBR, а затем перезагружает ПК. В итоге пользователь оказывается блокирован, а система не загружается дальше  экрана предварительной загрузки.

Однако в данном случае восстановить доступ к машине и данным возможно – для этого понадобится специальный софт для восстановления MBR.

Второй штамм “коронавирусной” малвари тоже перезаписывает MBR, но выглядит уже более сложным. На первый взгляд, это лишь очередной вымогатель с названием CoronaVirus, однако это лишь прикрытие. Основная функция этой малвари — хищение паролей с зараженного хоста, а затем имитация вымогательской деятельности, призванная скрыть от жертвы реальное положение дел.

Сообщается, что как только CoronaVirus похитил данные жертвы, он перезаписывает MBR и тем самым блокирует систему пользователя, фактически лишая жертву доступа к ПК. Так как на этом этапе пользователь видит сообщение с требованием выкупа и информацию о том, что его данные зашифрованы, вряд ли ему сразу придет в голову, что нужно проверить, не похитил ли кто-нибудь пароли от приложений.

Согласно анализу компании SentinelOne, ИБ-эксперта Виталия Кремеза и издания Bleeping Computer, данная малварь также содержит код для стирания файлов с машины жертвы, однако на момент изучения вредоноса этот код не был активен.

Вторая версия этой же угрозы была замечена экспертом компании G DATA Карстеном Ханом две недели спустя. Малварь сохранила возможность перезаписи MBR, однако заменила неактивную функцию стирания данных на работающий блокировщик экрана.

Два другие вредоноса, найденные MalwareHunterTeam, занимаются уничтожением данных на зараженной.

Первый вайпер был замечен еще в феврале текущего года. Судя по имени файла на китайском языке, он предназначался для китайских пользователей, хотя сейчас нет точных данных о том, распространялась ли эта малварь в реальности или была лишь тестовой версией. Второй вайпер был обнаружен на этой неделе: кто-то из Италии загрузил образец вредоноса на VirusTotal.

“MalwareHunterTeam описывает обе угрозы как весьма слабые вайперы, имея в виду используемые ими методы удаления файлов —  неэффективные, подверженные ошибкам и трудоемкие. Впрочем, оба вредоноса работают и действительно уничтожают данные своих жертв, хотя эксперт не уверен, являются они чьей-то шуткой или же создавались как вполне серьезная малварь”, – говорится в сообщении.