За последний месяц количество вредоносных кампаний, которые каким-либо образом эксплуатируют тему COVID-19, увеличивается со скоростью лесного пожара. Так, вредоносные домены, посвященные коронавирусу уже исчисляются десятками тысяч, и даже взломанные роутеры пугают своих владельцев именно срочной информацией о пандемии.

Теперь эксперты заметили малварь, целенаправленно уничтожающую данные пострадавших пользователей и перезаписывающую MBR (Master Boot Record), что препятствует нормальному запуску системы.

Журналисты издания ZDNet пишут, что в общей сложности им удалось выявить четыре штамма подобных вайперов (wiper, от английского to wipe — «стирать»), которые объединяет эксплуатация темы коронавируса, а также ориентированность на уничтожение информации, а не на финансовую выгоду. Из четырех образцов малвари, обнаруженных ИБ-исследователями в прошлом месяце, наиболее продвинутыми оказались два, переписывающие MBR.

Так, первый вайпер был обнаружен MalwareHunterTeam и подробно описан в отчете компании SonicWall на этой неделе. Эта малварь распространяется как файл COVID-19.exe и имеет два этапа заражения.

На первом этапе вредонос просто демонстрирует раздражающее окно, которое пользователи не могут закрыть, так как малварь уже отключила диспетчер задач Windows. Но пока пользователи пытаются разобраться с окном, малварь повреждает MBR, а затем перезагружает ПК. В итоге пользователь оказывается блокирован, а система не загружается дальше  экрана предварительной загрузки.

К счастью, в данном случае восстановить доступ к машине и данным возможно, хотя для этого понадобится специальный софт для восстановления MBR.

Второй штамм «коронавирусной» малвари тоже перезаписывает MBR, но выглядит уже более сложным. На первый взгляд, это лишь очередной вымогатель с названием CoronaVirus, однако это лишь прикрытие. Основная функция этой малвари — хищение паролей с зараженного хоста, а затем имитация вымогательской деятельности, призванная скрыть от жертвы реальное положение дел.

Дело в том, что как только CoronaVirus похитил данные жертвы, он перезаписывает MBR и тем самым блокирует систему пользователя, фактически лишая жертву доступа к ПК. Так как на этом этапе пользователь видит сообщение с требованием выкупа и информацию о том, что его данные зашифрованы, вряд ли ему сразу придет в голову, что нужно проверить, не похитил ли кто-нибудь пароли от приложений.

Согласно анализу компании SentinelOne, ИБ-эксперта Виталия Кремеза и издания Bleeping Computer, данная малварь также содержит код для стирания файлов с машины жертвы, однако на момент изучения вредоноса этот код не был активен.

Вторая версия этой же угрозы была замечена экспертом компании G DATA Карстеном Ханом две недели спустя. Малварь сохранила возможность перезаписи MBR, однако заменила неактивную функцию стирания данных на работающий блокировщик экрана.

Но если вышеописанные угрозы лишь повреждали MBR и не уничтожали данные на зараженной машине, то два другие вредоноса, найденные MalwareHunterTeam, занимаются именно этим.

Первый вайпер был замечен еще в феврале текущего года. Судя по имени файла на китайском языке, он предназначался для китайских пользователей, хотя у исследователей и ZDNet нет точных данных о том, распространялась ли эта малварь в реальности или была лишь тестовой версией. Второй вайпер был обнаружен на этой неделе: кто-то из Италии загрузил образец вредоноса на VirusTotal.

MalwareHunterTeam описывает обе угрозы как весьма слабые вайперы, имея в виду используемые ими методы удаления файлов —  неэффективные, подверженные ошибкам и трудоемкие. Впрочем, оба вредоноса работают и действительно уничтожают данные своих жертв, хотя эксперт не уверен, являются они чьей-то шуткой или же создавались как вполне серьезная малварь.