COVID-19 كورونا من نوع جديد

 السلام عليكم و رحمة الله و بركاته

يوجد الآن برنامج ضار COVID-19 الذي سيمسح جهاز الكمبيوتر الخاص بك ويعيد كتابة MBR

اكتشف باحثو الأمن برامج ضارة تحت عنوان الفيروسات التاجية تم إنشاؤها لتدمير أجهزة كمبيوتر المستخدمين .

.

مع انتشار جائحة الفيروس التاجي (COVID-19) في جميع أنحاء العالم ، طور بعض مؤلفي البرامج الضارة برامج ضارة تدمر الأنظمة المصابة ، إما عن طريق مسح الملفات أو إعادة كتابة سجل التمهيد الرئيسي للكمبيوتر (MBR).

من بين أربع عينات من البرمجيات الخبيثة التي اكتشفها باحثو الأمن في الشهر الماضي ، كانت أكثرها تقدماً هي النموذجان اللذان أعادا كتابة قطاعات MBR.

كانت هناك حاجة إلى بعض المعرفة التقنية المتقدمة لإنشاء هذه السلالات لأن الترقيع مع سجل التمهيد الرئيسي ليس بالأمر السهل ويمكن أن يؤدي بسهولة إلى أنظمة لم يتم التمهيد لها على الإطلاق .

تم اكتشاف أول برنامج إعادة كتابة MBR من قبل باحث أمني يحمل اسم MalwareHunterTeam ، وتم تفصيله في تقرير من SonicWall هذا الأسبوع. باستخدام اسم COVID-19.exe ، تصيب هذه البرامج الضارة جهاز كمبيوتر ولها مرحلتان للإصابة.

في المرحلة الأولى ، يعرض فقط نافذة مزعجة لا يمكن للمستخدمين إغلاقها لأن البرامج الضارة قامت أيضاً بتعطيل إدارة مهام Windows.

بينما يحاول المستخدمون التعامل مع هذه النافذة ، تقوم البرامج الضارة بإعادة كتابة سجل التمهيد الرئيسي للكمبيوتر بصمت . ثم يعيد تشغيل الكمبيوتر ، ويدخل MBR الجديد ، مما يحظر المستخدمين في شاشة ما قبل الدخول .

يمكن للمستخدمين في النهاية استعادة الوصول إلى أجهزة الكمبيوتر الخاصة بهم ، لكنهم سيحتاجون إلى تطبيقات خاصة يمكن استخدامها لاستعادة MBR .

ولكن كانت هناك سلالة ثانية من البرامج الضارة تحت عنوان الفيروسات التاجية لأعادت كتابة MBR. هذا هو عملية البرمجيات الخبيثة معقدة للغاية.

تم طرحه على أنه "CoronaVirus Ransomware" ولكنه كان مجرد واجهة. كانت الوظيفة الأساسية للبرامج الضارة هي سرقة كلمات المرور من مضيف مصاب ثم محاكاة برامج الفدية لخداع المستخدم وإخفاء الغرض الحقيقي منه.

بمجرد انتهاء عمليات سرقة البيانات ، دخلت البرامج الضارة في مرحلة حيث أعادت كتابة MBR ، وحظرت المستخدمين في رسالة ما قبل الدخول ، مما منع الوصول إلى أجهزة الكمبيوتر الخاصة بهم. مع رؤية المستخدمين لملاحظات التي تشبه فيروس الفدية ومن ثم عدم تمكنهم من الوصول إلى أجهزة الكمبيوتر الخاصة بهم ، فإن آخر ما يمكن للمستخدمين القيام به هو التحقق مما إذا كان شخص ما قد قام بسرقة كلمات المرور من تطبيقاتهم.

وفقاً لتحليل من باحث الأمن في SentinelOne Vitali Kremez و Bleeping Computer ، احتوت البرامج الضارة أيضاً على رمز لمسح الملفات على أنظمة المستخدم ، ولكن لا يبدو أن هذا نشط في الإصدار الذي قاموا بتحليله.

علاوة على ذلك ، تم اكتشاف هذا أيضًا مرتين ، مع اكتشاف نسخة ثانية من قبل الباحث في البرامج الضارة G DATA Karsten Hahn ، بعد أسبوعين. هذه المرة ، احتفظت البرامج الضارة بقدرات إعادة كتابة MBR ولكنها استبدلت ميزة مسح البيانات بقفل شاشة المستخدم .

 

ماسحات البيانات

لكن باحثين أمنيين رصدوا أكثر من برامج إعادة كتابة MBR تحت عنوان الفيروس التاجي. كما رصدوا مسحتين للبيانات.

تم اكتشاف كلاهما بواسطة MalwareHunterTeam.

تم رصد أول مرة في فبراير. استخدم اسم ملف صيني ، وعلى الأرجح استهدف مستخدمين صينيين ، على الرغم من أنه ليس لدينا معلومات إذا تم توزيعه بشكل عشوائي أو أذا كان مجرد اختبار.

تم رصد الثانية أمس ، وتم العثور على هذا تم تحميله على بوابة VirusTotal بواسطة شخص موجود في إيطاليا.

وصف MalwareHunterTeam كلا السلالتين بأنهما "مساحات ضعيفة" بسبب الأساليب غير الفعالة والمعرضة للخطأ والمستهلكة للوقت التي استخدموها لمسح الملفات على الأنظمة المصابة. ومع ذلك ، فقد عملوا ، مما جعلهم خطرين إذا انتشروا بشكل واسع .

قد يبدو من الغريب أن بعض مؤلفي البرامج الضارة ينشئون برامج ضارة مدمرة مثل هذه ، لكنها ليست المرة الأولى التي يحدث فيها هذا. لكل سلالة من البرامج الضارة ذات الدوافع المالية التي يكتشفها باحثو الأمان ، هناك أيضاً واحدة تم إنشاؤها كمزحة ، فقط من أجل المتعة . حدث شيء مشابه خلال اندلاع برنامج WannaCry Ransomware في عام 2017 ، بعد أيام من برنامج WannaCry Ransomware الأصلي المشفر لأجهزة الكمبيوتر في جميع أنحاء العالم ، كان هناك عدد لا يحصى من الفيروسات المستنسخة تفعل نفس الشيء دون سبب واضح .

دمتم بخير