Al igual que NotPetya, sobrescribe el registro maestro de arranque para hacer que las computadoras sean «basura».
Ha surgido un nuevo malware de Windows que inutiliza los discos al sobrescribir el registro de arranque maestro (MBR). Sigue el ejemplo de la pandemia de COVID-19, llamándose simplemente «Coronavirus».
Sobrescribir el MBR es el mismo truco que el infame malware de limpiaparabrisas NotPetya utilizó en 2017 en una campaña que causó daños financieros globales y generalizados .
De manera preocupante, según el equipo de investigación de amenazas de SonicWall Capture Labs, la nueva variedad de malware también es un troyano destructivo, aunque no tan destructivo como otros limpiadores. Y al igual que su homónimo, no existe una cura obvia. En una publicación el martes , los investigadores explicaron que las víctimas del troyano Coronavirus se encuentran con una pantalla gris y un cursor parpadeante con un mensaje simple: «Su computadora ha sido destruida»
El nuevo coronavirus y la enfermedad que causa, COVID-19, ha proporcionado una gran cantidad de forraje para los ciberdelincuentes que buscan capitalizar la preocupación mundial en torno a la pandemia. Por ejemplo, una reciente serie de ataques de phishing ha utilizado la promesa de alivio financiero debido a la enfermedad como un señuelo. Sin embargo, el operador detrás de este malware lo lleva un paso más allá, llegando a tomar el coronavirus como su nombre y tema de infección.
En cuanto a esa rutina de infección, el malware se puede entregar de cualquiera de las formas habituales, como un archivo adjunto de correo electrónico malicioso, descarga de archivos, aplicación falsa, etc.
Una vez ejecutado, el malware comienza su proceso instalando varios archivos auxiliares, que se colocan en una carpeta temporal. El malware se ajusta a su tema de pandemia: un instalador (un archivo auxiliar llamado «coronavirus.bat») configura el ataque creando una carpeta oculta llamada «COVID-19» en la máquina víctima. Los archivos auxiliares previamente eliminados se mueven allí, en un esfuerzo por pasar desapercibidos hasta que se logre su objetivo.
Después de eso, el instalador deshabilita el Administrador de tareas de Windows y el Control de acceso de usuario (UAC) en una nueva puñalada de ofuscación, según el análisis. También cambia el fondo de pantalla de la víctima y deshabilita las opciones para agregar o modificar ese fondo de pantalla después de realizar el cambio. También agrega entradas en el registro para persistencia, y luego establece el reinicio para finalizar la instalación.
El proceso run.exe crea un archivo por lotes llamado run.bat para garantizar que las modificaciones de registro realizadas por «coronavirus.bat» se mantengan intactas durante el proceso de reinicio, de acuerdo con SonicWall.
Después de reiniciar, la infección ejecuta dos binarios. Uno, «mainWindow.exe», muestra una ventana con una imagen del coronavirus en sí, con dos botones. En la parte superior de la ventana, se notifica a la víctima que «¡el coronavirus ha infectado su PC!»
Los dos botones leen «Eliminar virus» y «Ayuda». El primero no hace nada cuando se hace clic; este último muestra una ventana emergente que le dice a las víctimas que «no pierdan su tiempo» porque «¡no pueden terminar este proceso!»
El otro binario lleva a cabo la carne del ataque: es responsable de sobrescribir el MBR.
«El MBR original se respalda primero en el primer sector antes de sobrescribirse con uno nuevo, [y el] MBR se sobrescribe con el nuevo código», según los investigadores.
Una vez que se completa la sobrescritura, la pantalla de la víctima cambia a una simple pantalla gris que ofrece las malas noticias:
SonicWall le dijo a Threatpost en una entrevista por correo electrónico que pudo analizar la muestra después de cargarla en VirusTotal. Por lo tanto, hasta ahora, no se han observado muchos casos de «Coronavirus» en la naturaleza, y poco conocidos en términos de selección o cuáles son los mecanismos de propagación para el nuevo y misterioso malware.
El equipo también le dijo a Threatpost que la buena noticia es que esto no es tan peligroso como otras cepas de limpiaparabrisas.
«Incluso si el MBR no se restaura … aún se puede acceder / recuperar datos montando el disco», señaló la empresa. «El MBR [también] se puede restaurar potencialmente, pero no es fácil y requiere un profundo conocimiento técnico «.