يستفيد منشئو البرامج الضارة من جائحة الفيروسات التاجية وينشرون برامج ضارة تحت عنوان الوباء للمطالبة بفدية من المستخدمين. منذ أن بدأ الوباء في الانتشار ، شهد باحثو الأمن تصاعدًا في فيروسات التصدع الفيروسي التفاعلي تحت عنوان MBRLockers.
MBRLockers هي نوع خاص من البرامج الضارة التي تعدل سجل التمهيد الرئيسي (MBR) لجهاز كمبيوتر الضحية بحيث تعرض ملاحظة فدية قبل تشغيل Windows.
هناك بعض MBRLockers سيئة السمعة مثل Petya و GoldenEye التي تشفر القسم الذي يحتوي على معلومات التقسيم لمحركات الأقراص. وبالتالي ، يصبح من المستحيل إعادة بناء MBR إلا إذا تم إدخال رمز الفدية.
اكتشف MalwareHunterTeam مؤخرًا MBRLocker جديد يسمى "Coronavirus" يستهدف المستخدمين باستخدام ملف Covid-19.exe.
بمجرد التثبيت ، تقوم البرامج الضارة باستخراج ملفات المستخدمين إلى مجلد في٪ Temp٪ ويتم تنفيذ ملف دفعي يسمى coronavirus.bat. عند تنفيذه ، يتم نقل الملفات المستخرجة إلى المجلد C: \ COVID-19. يقوم بتكوين البرامج ليبدأ تلقائيًا عند تسجيل الدخول ويتم إعادة تشغيل Windows.
بمجرد إعادة تشغيل Windows ، يتم عرض رسالة "لقد أصاب الفيروس التاجي جهاز الكمبيوتر الخاص بك!" ويتم عرض صورة فيروس.
قام كل من Avast و SonicWall بتحليل Coronavirus MBRLocker ووجدوا أن البرنامج يتم تنفيذه في الخلفية والذي يقوم بعمل نسخة احتياطية من MBR لمحرك التمهيد واستبداله بـ MBR مخصص.
يعرض MBR المخصص الذي تم استبداله الآن رسالة تقول "حاسوبك حذف ملفاته " وفشل Windows في التمهيد.
يكشف التحليل أن المبدعين Coronavirus MBRLocker أضافوا تجاوزًا يسمح لك بالتمهيد بشكل طبيعي. يحتاج المستخدمون للضغط على Ctrl + alt + esc مفاتيح في وقت واحد.
اقرا ايضا : أفضل 5 أدوات لمكافحة ثغرات الاستغلال Anti-Exploit على نظام الويندوز
بالإضافة إلى برامج Coronavirus الخبيثة ، وجد Bleeping Computer أنه تم إنشاء العديد من متغيرات MBRLocker في الأسبوع الماضي مع الميمات Coronavirus والرسائل والنكات الداخلية.
MBRLockers هي نوع خاص من البرامج الضارة التي تعدل سجل التمهيد الرئيسي (MBR) لجهاز كمبيوتر الضحية بحيث تعرض ملاحظة فدية قبل تشغيل Windows.
هناك بعض MBRLockers سيئة السمعة مثل Petya و GoldenEye التي تشفر القسم الذي يحتوي على معلومات التقسيم لمحركات الأقراص. وبالتالي ، يصبح من المستحيل إعادة بناء MBR إلا إذا تم إدخال رمز الفدية.
بمجرد التثبيت ، تقوم البرامج الضارة باستخراج ملفات المستخدمين إلى مجلد في٪ Temp٪ ويتم تنفيذ ملف دفعي يسمى coronavirus.bat. عند تنفيذه ، يتم نقل الملفات المستخرجة إلى المجلد C: \ COVID-19. يقوم بتكوين البرامج ليبدأ تلقائيًا عند تسجيل الدخول ويتم إعادة تشغيل Windows.
بمجرد إعادة تشغيل Windows ، يتم عرض رسالة "لقد أصاب الفيروس التاجي جهاز الكمبيوتر الخاص بك!" ويتم عرض صورة فيروس.
قام كل من Avast و SonicWall بتحليل Coronavirus MBRLocker ووجدوا أن البرنامج يتم تنفيذه في الخلفية والذي يقوم بعمل نسخة احتياطية من MBR لمحرك التمهيد واستبداله بـ MBR مخصص.
يعرض MBR المخصص الذي تم استبداله الآن رسالة تقول "حاسوبك حذف ملفاته " وفشل Windows في التمهيد.
يكشف التحليل أن المبدعين Coronavirus MBRLocker أضافوا تجاوزًا يسمح لك بالتمهيد بشكل طبيعي. يحتاج المستخدمون للضغط على Ctrl + alt + esc مفاتيح في وقت واحد.
اقرا ايضا : أفضل 5 أدوات لمكافحة ثغرات الاستغلال Anti-Exploit على نظام الويندوز
بالإضافة إلى برامج Coronavirus الخبيثة ، وجد Bleeping Computer أنه تم إنشاء العديد من متغيرات MBRLocker في الأسبوع الماضي مع الميمات Coronavirus والرسائل والنكات الداخلية.