病毒界的“影帝”!揭秘假装勒索的covid-666病毒!

admin 2022年1月28日02:02:28SecPulseの系统安全评论25 次浏览阅读模式

背景概述

在2021年底,出现了一种名为“Covid-22”的恶作剧病毒,其使用新冠病毒的命名方式,意在表明可能会在2022年进行传播,主要对受害者进行恐吓及破坏MBR导致系统无法启动。

而在2022年初,深信服终端安全团队捕获到一种自称“covid-666勒索病毒”的恶意程序,运行后会将文件加上”.covid-666”后缀,将桌面背景改为冠状病毒的图片并要求支付一定价值比特币作为赎金,现象如下:

病毒界的“影帝”!揭秘假装勒索的covid-666病毒!

而通过分析发现,其加上”.covid-666”后缀的文件其实并未被加密,仅仅只是重命名,去掉”.covid-666”后缀后就能正常打开,可以说是“假勒索,真恶作剧”,演技逼真到堪称病毒界的“影帝”。

病毒分析

病毒伪装为Photoshop程序文件,推测其可能通过盗版软件进行传播:

病毒界的“影帝”!揭秘假装勒索的covid-666病毒!

写入脚本文件Covid666.bat到temp目录:

病毒界的“影帝”!揭秘假装勒索的covid-666病毒!

Covid666.bat脚本内容如下:

1、通过修改注册表禁用任务管理器、禁用快速用户切换、禁止修改密码、禁止锁屏、禁止注销;

2、运行mbr.exe;

3、将note.bmp复制到C盘根目录并将其设置为桌面背景,刷新桌面,并禁止修改桌面背景;

4、将桌面文件重命名,加上“.covid666”后缀;

5、运行MainWindow.exe;

6、运行命令使系统在240秒后重启并提示“你只有4分钟完成支付,否则你的所有文件都将永久丢失”;

病毒界的“影帝”!揭秘假装勒索的covid-666病毒! 

将文件mbr.exe、mbr.cpp、note.bmp、MainWindow.exe释放到temp目录:

病毒界的“影帝”!揭秘假装勒索的covid-666病毒! 

mbr.exe为mbr擦除程序,其会将mbr内容覆盖为0,如下:

病毒界的“影帝”!揭秘假装勒索的covid-666病毒!

mbr.cpp为mbr.exe的源代码:

病毒界的“影帝”!揭秘假装勒索的covid-666病毒!

note.bmp为用于修改桌面背景的图片:

病毒界的“影帝”!揭秘假装勒索的covid-666病毒!

MainWindow.exe为一个窗口程序,内容为要求支付一定价值的比特币作为赎金,但点击支付按钮却显示为“支付未完成或无法连接服务器”,如下:

病毒界的“影帝”!揭秘假装勒索的covid-666病毒!

运行脚本Covid666.bat,如下:

病毒界的“影帝”!揭秘假装勒索的covid-666病毒!

病毒运行结束并重启后,由于mbr被覆盖为0,将无法进入系统:

病毒界的“影帝”!揭秘假装勒索的covid-666病毒!

日常加固

1.日常生活工作中的重要的数据文件资料设置相应的访问权限,关闭不必要的文件共享功能并且定期进行非本地备份;

2.使用高强度的主机密码,并避免多台设备使用相同密码,不要对外网直接映射3389等端口,防止暴力破解;

3.避免打开来历不明的邮件、链接和网址附件等,尽量不要在非官方渠道下载非正版的应用软件,发现文件类型与图标不相符时应先使用安全软件对文件进行查杀;

4.定期检测系统漏洞并且及时进行补丁修复。

  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年1月28日02:02:28
  • 转载请务必保留本文链接:http://zone.ci/archives/secpulse/secpulse_system/2022/01/28/126381.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: