CoronaVirus — вредоносное ПО нового поколения

Работающие из дома люди уже не могут использовать корпоративные средства защиты, а злоумышленники создают все новые и новые версии вредоносного ПО, рассчитанные как раз на уязвимости домашних компьютеров и домашних сетей во время пандемии и самоизоляции. Сегодня мы хотим рассказать о вредоносном ПО класса «2-в-1», которое создатели назвали CoronaVirus. Оно использует сразу несколько типов атак на пользователей, и поэтому защита от него требует комплексного подхода.

С момента введения режима самоизоляции в период пандемии, в интернете стало появляться множество различных сайтов и мобильных приложений, информирующих людей о статистике заражений. Однако далеко не все они работают честно, и большая часть одновременно пытается украсть данные пользователей или зашифровать содержимое диска, чтобы потребовать выкуп. Например, российские аналитики в сфере информационной безопасности уже обезвредили мобильное приложение Coronavirus Tracker, которое блокировало доступ к мобильному устройству, пока пользователь не отправит злоумышленнику деньги.

Новый виток вредоносной активности проявился, когда разные страны объявили о мерах финансовой поддержки для частных лиц и предпринимателей. Не везде процесс перечисления помощи был организован просто и прозрачно. Именно этим и воспользовались преступники, создающие альтернативные сайты для подачи заявок, а также рассылающие фишинговые письма от лица налоговых инспекций, банков и органов соцзащиты.

Переходя по ссылкам в поддельных письмах, пользователи попадают на поддельные сайты, требующие от них ввести личную и финансовую информацию, чтобы «получить поддержку». Вместо этого люди лишаются денег на своих счетах, а их данные оказываются в открытом доступе или продаются в Darknet и могут быть использованы преступниками.

Опасность представляют собой и ссылки в поддельных письмах, и вложенные файлы. Последние, как правило, оказываются защищены паролем (и это мешает обнаружить вирус защитным программам). И если ввести пароль из тела письма, вы получите не поддержку от правительства, а шпионскую программу или программу-вымогателя, которая зашифрует ваши данные и будет требовать выкуп.

Coronavirus 2022

Новое вредоносное ПО носит название смертельного вируса, также успешно распространяется на фальшивых сайтах, в фишинговых письмах и в социальных сетях.

С одной стороны, CoronaVirus содержит в себе программу-вымогатель. Это небольшой файл размером 44 Кб, который копирует себя под случайным именем в %AppData%\Local\Temp\vprdh.exe, а также устанавливает ключ в реестре \Windows\CurrentVersion\Run. После размещения копии оригинал удаляется.

Как и большинство программ-вымогателей, CoronaVirus пытается удалить все локальные резервные копии, отключает защитную функцию Windows под названием Shadowing, которая кэширует файлы и, теоретически, позволяет восстановить их в случае подтверждения. Для этого применяются следующие команды:

C:\Windows\system32\VSSADMIN.EXEDeleteShadows /All /Quiet
C:\Windows\system32\wbadmin.exedeletesystemstatebackup -keepVersions: 0 -quiet
C:\Windows\system32\wbadmin.exedeletebackup -keepVersions: 0 -quiet

Когда все приготовления сделаны, вредоносное ПО приступает к шифрованию файлов. После завершения процедуры к имени каждого файла добавляется coronaVi2022@protonmail.ch. А когда будут зашифрованы все объекты, название диска C меняется на «CoronaVirus».

После шифрования каждой папки программа-вымогатель копирует файл CoronaVirus.txt с инструкциями по перечислению выкупа в 0,008 биткоинов (по текущему курсу это около $60). Как отмечают аналитики Acronis, это нетипично мало для программы-вымогателя. И, скорее всего, злоумышленник сделал ставку на широту охвата и условия самоизоляции — сидя дома без возможности вызвать мастера, большинство жертв заплатит $60, чтобы компьютер снова заработал.

На случай, если пользователь не найдет требование о выкупе, вирус создает небольшой исполняемый файл и регистрирует его в реестре под ключом Boot Execute. Благодаря этому инструкции по выполнению платежа будут показаны при следующей перезагрузке компьютера. Кстати, перезагрузка происходит после шифрования всех файлов.

Не только шифрование, но и кража данных

CoronaVirus 2022 не так прост — в составе вредоносного ПО имеется не только программа-шифровальщик, но также шпионская программа KPOT. Это зловредное ПО относится к категории infostealer и при запуске собирает на компьютере все файлы cookies и сохраненные пароли, изучает установленные браузеры, игры (включая Steam), а также мессенджеры. Украв все пароли, которые найдет на компьютере (включая реквизиты доступа к FTP и VPN), шпионская программа пересылает их на сервер и удаляет сама себя.

cmd.exe /c ping 127.0.0.1 & & del C:\temp\kpot.exe

Уже известно, что некоторые группы киберпреступников (например, Maze и Doppel Paymer) используют украденные персональные данные для шантажа пользователей. Получается, что CoronaVirus имеет возможность обогатиться на жертве дважды — требуя выкуп за расшифровку файлов, а также за восстановление доступа к нужным порталам и сайтам. А учитывая небольшую сумму выкупа, атака шифровальщика может носить роль диверсии, отвлекая внимание пользователя от факта утечки данных.

Требуется комплексная киберзащита

Рассмотренное вредоносное ПО — это только один пример новых, более изощренных угроз. Оно является еще одним доказательством того, что сотрудникам, работающим удаленно, требуется дополнительная защита. В компании Acronis, впрочем, уже давно разработаны методы противодействия подобным угрозам.

Системы резервного копирования Acronis Cyber Backup для бизнеса, а также Acronis True Image для персональных пользователей обладают надежным механизмом противодействия подобным угрозам за счет эвристических алгоритмов и технологий машинного обучения. Система защиты обнаруживает вредоносную активность и не только блокирует CoronaVirus, но также сразу восстанавливает поврежденные файлы.

Вы можете использовать специальное решение Acronis Ransomware Protection или один из комплексных продуктов компании, обеспечивая полную защиту от программ-шифровальщиков.

Помимо Acronis Ransomware Protection, доступны следующие решения:

1. Резервное копирование физических серверов, виртуальных хостов, и персональных компьютеров с помощью Acronis Cyber Backup.

2. Кроме того, вынужденный перевод сотрудников на удаленную работу требует внедрения инструментов безопасной совместной работы и кибербезопасности. Это влечет за собой приобретение нового оборудования и установку необходимого ПО. Чтобы данный процесс был максимально эффективным и безопасным, используйте тиражирование ПО с помощью Acronis Snap Deploy.

3. Обязательно защищайте файлы общего доступа. Как сказано выше, именно файлы общего доступа могут быть уязвимы с точки зрения атак и некорректного использования.

Acronis Files Advanced — это удобное, полноценное и безопасное решение для обмена корпоративными файлами, которое помогает сотрудникам повысить производительность. Продукт имеет массу возможностей при работе с корпоративными файлами, среди которых — защищенное редактирование файлов в приложении, безопасный предпросмотр файлов в веб-браузере, передовая защита и контроль. С помощью Acronis Files Advanced вы сможете просматривать и синхронизировать файлы на любых устройствах, а также обмениваться ими с коллегами, клиентами, партнерами и поставщиками.

4. Без облачных решений сложно представить работу современной компании. Acronis Cyber Cloud — платформа сервисов киберзащиты, заточенная под поставщиков управляемых услуг. Если делать бэкап, то только в защищенном облаке. В данном классе решений несколько продуктов. Каждый сможет подобрать подходящий вариант, который идеально подойдет под задачи бизнеса.

— Acronis Cyber Protect Cloud — совершенствуйте защиту и снижайте расходы благодаря интеграции защиты данных и кибербезопасности на основе искусственного интеллекта.
— Acronis Cyber Backup Cloud — лучшее резервное копирование как услуга.
— Acronis Cyber Files Cloud — синхронизация и совместный доступ к файлам при максимальной безопасности.
— Acronis Cyber Notary Cloud — предлагайте услуги обеспечения подлинности данных на базе блокчейн.
— Acronis Cyber Disaster Recovery Cloud — добавьте в свой портфель аварийное восстановление всего за один клик.

Подведем итог. Современные технологии позволяют производить двойное резервное копирование — как на локальный диск, так и в облако, обеспечивая сохранность ценных файлов даже в случае выхода компьютера из строя. Такая возможность очень важна как для персональных пользователей, так и для бизнеса, но приобретает особую ценность в условиях удаленной работы и ограничений, введенных в связи с пандемией.