病毒界的“影帝”！揭秘假裝勒索的covid-666病毒！

背景概述

在2021年底，出現了一種名為“Covid-22”的惡作劇病毒，其使用新冠病毒的命名方式，意在表明可能會在2022年進行傳播，主要對受害者進行恐嚇及破壞MBR導致系統無法啟動。

而在2022年初，深信服終端安全團隊捕獲到一種自稱“covid-666勒索病毒”的惡意程式，執行後會將檔案加上”.covid-666”字尾，將桌面背景改為冠狀病毒的圖片並要求支付一定價值的比特幣作為贖金，現象如下：

而透過分析發現，其加上”.covid-666”字尾的檔案其實並未被加密，僅僅只是重新命名，去掉”.covid-666”字尾後就能正常開啟，可以說是“假勒索，真惡作劇”，演技逼真到堪稱病毒界的“影帝”。

病毒分析

病毒偽裝為Photoshop程式檔案，推測其可能透過盜版軟體進行傳播：

寫入指令碼檔案Covid666.bat到temp目錄：

Covid666.bat指令碼內容如下：

1、透過修改登錄檔禁用工作管理員、禁用快速使用者切換、禁止修改密碼、禁止鎖屏、禁止登出；

2、執行mbr.exe；

3、將note.bmp複製到C盤根目錄並將其設定為桌面背景，重新整理桌面，並禁止修改桌面背景；

4、將桌面檔案重新命名，加上“.covid666”字尾；

5、執行MainWindow.exe；

6、執行命令使系統在240秒後重啟並提示“你只有4分鐘完成支付，否則你的所有檔案都將永久丟失”；

將檔案mbr.exe、mbr.cpp、note.bmp、MainWindow.exe釋放到temp目錄：

 

mbr.exe為mbr擦除程式，其會將mbr內容覆蓋為0，如下：

 

mbr.cpp為mbr.exe的原始碼：

note.bmp為用於修改桌面背景的圖片：

MainWindow.exe為一個視窗程式，內容為要求支付一定價值的比特幣作為贖金，但點選支付按鈕卻顯示為“支付未完成或無法連線伺服器”，如下：

執行指令碼Covid666.bat，如下：

病毒執行結束並重啟後，由於mbr被覆蓋為0，將無法進入系統：

日常加固

1.日常生活工作中的重要的資料檔案資料設定相應的訪問許可權，關閉不必要的檔案共享功能並且定期進行非本地備份；

2.使用高強度的主機密碼，並避免多臺裝置使用相同密碼，不要對外網直接對映3389等埠，防止暴力破解；

3.避免開啟來歷不明的郵件、連結和網址附件等，儘量不要在非官方渠道下載非正版的應用軟體，發現檔案型別與圖示不相符時應先使用安全軟體對檔案進行查殺；

4.定期檢測系統漏洞並且及時進行補丁修復。

 

深信服安全產品解決方案

1. 深信服安全感知管理平臺SIP、下一代防火牆AF、終端響應檢測平臺EDR使用者，建議及時升級最新版本，並接入安全雲腦，使用雲查服務以及時檢測防禦新威脅；

2.深信服為廣大使用者免費提供查殺工具，可下載如下工具，進行檢測查殺

64位系統下載連結：

http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z

32位系統下載連結：

http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z

 

3.深信服安全產品整合深信服SAVE人工智慧檢測引擎，擁有強大的泛化能力，精準防禦未知病毒；

4.深信服推出安全運營服務，透過以“人機共智”的服務模式幫助使用者快速提高安全能力。針對此類威脅，安全運營服務提供安全裝置策略檢查、安全威脅檢查、相關漏洞檢查等服務，確保第一時間檢測風險以及更新策略，防範此類威脅。