Malware intitulado COVID-19 limpa dados do seu PC e reescreve o MBR
Pesquisadores de segurança descobriram malware com tema de coronavírus criado para destruir os computadores dos usuários.
Com a pandemia de coronavírus (COVID-19) em todo o mundo, alguns autores de malwares desenvolveram malware que destrói sistemas infectados, limpando arquivos ou reescrevendo o Master boot record (MBR) de um computador.
Foram identificados pelo menos cinco tipos de malware, onde dentre eles alguns parecem ter sido criados apenas como testes ou piadas. O tema comum entre as amostras é coronavírus e são voltados para a destruição, e não para o ganho financeiro.
MBR-REWRITING MALWARE
COVID-19.exe
O primeiro dos reescritores da MBR foi descoberto por MalwareHunterTeam e detalhado em um relatório da SonicWall na semana passada. Esse malware destrói o computador da vitíma em dois estágios de infecção.
Primeiramente o virus mostra uma janela irritante que os usuários não podem fechar, porque o malware desactiva o Gerenciador de Tarefas do Windows. Enquanto os usuários tentam lidar com essa janela, o malware reescreve silenciosamente o registro mestre de inicialização do computador no background. Em seguida, reinicia o PC e o novo MBR entra em acção, bloqueando os usuários na tela de pré-inicialização.
Os usuários podem eventualmente recuperar o acesso aos seus computadores, mas precisarão de aplicativos especiais que podem ser usados para recuperar e reconstruir o MBR para um estado de funcionamento.
CoronaVirus ransomware
Embora se apresente como “CoronaVirus ransomware”, o que é uma fachada. Tem como principal função roubar senhas de um host infectado, imitando um ransomware para enganar o usuário e mascarar seu real objectivo. Depois que as operações de roubo de dados terminam, o malware entra na fase de reescrição do MBR e bloquea os usuários em uma mensagem de pré-inicialização, impedindo o acesso aos seus PCs.
De acordo com a análise do pesquisador de segurança do SentinelOne, Vitali Kremez, e Bleeping Computer, o malware também continha código para limpar arquivos no sistema do usuário infectado, mas isso não parecia estar activo na versão analisada. Também foi detectado duas vezes, com uma segunda versão descoberta pelo pesquisador de malware do G DATA Karsten Hahn, duas semanas depois. Dessa vez, o malware manteve os recursos de reescrita do MBR, mas substituiu o recurso de limpeza de dados por um bloqueio de tela funcional.
“No começo, isso parece um simples bloqueador de tela, mas também infecta o MBR. Mesmo MBR que o ransomware Coronavirus foi encontrado por @malwrhunterteam” – Karsten Hahn
Limpadores de dados
Para além dos reescritores de MBR, os pesquisadores de segurança também descobriram dois limpadores de dados com tema de coronavírus. Ambos foram descobertos pelo MalwareHunterTeam.
O primeiro foi descoberto em fevereiro, usava um nome de arquivo chinês. O segundo foi descoberto semana passada, e este foi encontrado carregado no portal VirusTotal por alguém localizado na Itália.
O MalwareHunterTeam descreveu ambos como “limpadores ruins” devido aos métodos ineficientes, propensos a erros e demorados que eles usavam para apagar arquivos nos sistemas infectados. No entanto, eles trabalharam, o que os tornou perigosos, se alguma vez se espalharem.
