مع اجتياح فيروس كورونا كوفيد-١٩ العالم كله في الربع الأول من عام ٢٠٢٠ قام بعض مطوروا الفيروسات التقنية باستغلال وباء فيروس كورونا ونشر البرمجيات الخبيثة باسم كورونا تحت عنوان كوفيد-١٩ لطلب فدية من المستخدمين. منذ أن بدأ الوباء في الانتشار، شهد باحثو الأمن تصاعدًا في فيروسات الفدية التفاعلية تحت عنوان MBRLockers.
MBRLockers هي نوع خاص من البرامج الضارة التي تعدل سجل التمهيد الرئيسي (MBR) لجهاز الكمبيوتر الخاص بالضحية بحيث تظهر ملاحظة فدية قبل تشغيل Windows.
هناك بعض MBRLockers سيئة السمعة قد ظهرت مسبقا مثل بيتيا والعين الذهبية حيث يتم تشفير معلومات الأقسام من محركات الأقراص. وبالتالي ، يصبح من المستحيل إعادة بناء MBR إلا إذا تم إدخال رمز الفدية.
اكتشف فريق MalwareHunterTeam في ٢٣مارس ٢٠٢٠ فيروس MBRLocker جديد يسمى "Coronavirus" يستهدف المستخدمين باستخدام ملف Covid-19.exe تحت الرسالة للتالية
"coronavirus successfully installed"
آلية عمل فيروس كوفيد-١٩
بمجرد تثبيت الملف المصاب بالفيروس تقوم البرامج الضارة باستخراج ملفات المستخدمين إلى مجلد في ٪Temp٪ ويتم تنفيذ ملف دفعي يسمى coronavirus.bat الذي يقوم عند تنفيذه بنقل الملفات المستخرجة إلى المجلد C: \ COVID-19. يقوم بعمل التشفير ليبدأ تلقائيًا عند تسجيل الدخول ويتم إعادة تشغيل Windows.
بمجرد إعادة تشغيل Windows، يتم عرض رسالة "لقد أصاب الفيروس التاجي جهاز الكمبيوتر الخاص بك!" ويتم عرض صورة رسالة الفيروس.
أنظر ايضا الى ماذا تفعل اذا اصابك فيروس الرانسوم وير
وجدت شركتي أفاست و سونيك وول خلال تحليل الفيروس التاجى MBRLocker أن يتم تنفيذ البرنامج في الأنظمة التي تدعم MBR كمحرك أقراص التمهيد ويستبدلها مع MBR المخصصة له ليمحي كل البيانات المسجلة في سجل الإقلاع، ليس ذلك فحسب بل إنه يعرض MBR المخصص الذي تم استبداله من قبل الفيروس رسالة تقول "لقد انتهى حاسوبك في سلة المهملات" ويفشل Windows في الإقلاع.
يكشف التحليل أن صانعي Coronavirus MBRLocker أضافوا تجاوزًا يسمح لك بالإقلاع بشكل طبيعي إلى الويندوز من خلال ضغط المستخدم على أزرار Ctrl + alt + esc في نفس الوقت.
بالإضافة إلى برامج Coronavirus الخبيثة وجد فريق Bleeping Computer أنه تم إنشاء العديد من متغيرات MBRLocker في الأسبوع الماضي مع Coronavirus والرسائل الداخلية المختلفة.
وفي القريب العاجل بإذن الله سنقوم بوضع شروحات للحماية من هذه الأنواع من الفيروس، وطريقة صنعها وتجربتها، ولولا الخوف من أصحاب النفوذ الضعيفة لقمنا بعمل شروحات عن صنع فيروسات الرانسوم وير بأكثر من طريقة.
أخيرا نوصي قراء مدونة hd boot بعدم تثبيت أي ملف مجهول المصدر لأنه قد يحجبك عن Windows ويطلب فدية لفك تشفير ملفاتك.
يمكنك الاطلاع على
يمكنك الاطلاع على
إرسال تعليق