Era dai tempi di Petya e GoldenEye che non si vedevano ransomware pensati per bloccare gli utenti fuori dal sistema operativo. Entrambi questi ransomware, attivi tra il 2016 e il 2018, fanno parte della famiglia MBRLocker e hanno una caratteristica peculiare rispetto ad altri ransomware: sostituiscono il master boot record (MBR) di un computer e impediscono così al sistema operativo di avviarsi. Una vittima che dovesse tentare di accendere il computer infetto vedrebbe soltanto la nota di riscatto.
Alcuni dei ransomware di questa famiglia, Petya su tutti, criptano anche la tabella contenente le partizioni con le informazioni per i driver, così rendono del tutto impossibile accedere ai file o ricostruire l'MBR senza inserire un codice o pagare il riscatto.
Il primo MBRLocker a tema Coronavirus
La scorsa settimana è stato individuato in circolazione, già in uso in attacchi reali, l'installer di un nuovo ransomware, chiamato "Coronavirus" e diffuso tramite un file eseguibile rinominato COVID-19.exe.
Una volta installato, il malware inizia ad estrarre e salvare numerosi file nella cartella %Temp%, quindi esegue uno di questi, un file batch chiamato Coronavirus.bat. Questo file sposta i file estratti in una nuova cartella C:\COVID-19, quindi configura una serie di programmi affinchè si eseguano automaticamente al login, quindi riavvia Windows.
Quando Windows si riavvia, lo schermo mostrerà solo una immagine, contenente una ricostruzione digitale del Coronavirus e un messaggio "il Coronaviurs ha infettato il tuo PC!".
Le analisi mostrano come vi sia anche un programma che viene eseguito: questo esegue il backup dell'MBR del drive di boot in una diversa location, quindi sostituisce l'MBR della macchina con uno personalizzato. La foto sottostante mostra il backup e la sovrascrittura dell'MBR
Al riavvio, l'MBR personalizzato degli attaccanti mostra questo messaggio ""Your Computer Has Been Trashed": Windows non si avvierà.
E ora le buone notizie
Ci sono però buone notizie. Il codice MBR personalizzato in realtà ha un bypass che consente il ripristino dell'MBR originale, permettendo l'avvio normale del sistema operativo. Basterà premere CTRL+ALT+ESC. Inoltre è stato verificato che questa infezione non cancella alcun dato e non distrugge la tabella delle partizioni: ripristinare l'MBR dalla location di backup sarà sufficiente per avviare Windows e avere di nuovo accesso ai dati.
Lo strano flusso di MBRLocker
La redazione di BleepingComputer fa sapere di avere individuato, nel corso della scorsa settimana, molteplici varianti di MBRLocker diffuse via messaggi, meme o tramite scherzi di vari genere online. Si è scoperto che sono tutti stati personalizzati tramite un tool disponibile gratuitamente e diffuso su Youtube e Discord: evidentemente qualcuno si sta divertendo a fare questo tipo di scherzi di dubbio gusto. Consigliamo di stare molto molto attenti ad eseguire qualsiasi programma diffuso da altre persone, sopratutto su Discord.
Nessun commento:
Posta un commento