1. 黑客安全网-互联网安全媒体信息综合平台首页
  2. 分类阅读
  3. WEB安全

新的Wiper恶意软件冒充安全研究人员为恶作剧

恶意软件储物柜

恶意软件分发者已决定通过在受害者的计算机无法启动Windows之前对其进行锁定,然后将其归咎于两名知名且受人尊敬的安全研究人员,来进行恶作剧。

在过去的24小时内,从看上去像免费软件和破解站点的网站下载并安装了软件之后,人们突然发现,在Windows启动之前,他们已被锁定在计算机之外。

锁定后,PC将显示一条消息,指出它们已被著名的恶意软件和安全研究人员Vitali Kremez和MalwareHunterTeam感染,与该恶意软件无关。

MBR储物柜
MBR储物柜冒充Vitali和MalwareHunterTeam

可以在下面阅读此MBRLocker的全文:

Hello, my name is Vitali Kremez. I infected your stupid PC. you idiot.
Write me in twitter @VK_intel if you want your computer back
If I do not answer, write my husband twitter.com/malwrhunterteam
To protect your ***ing computer in future install SentinelOne antivirus. I work here as head of labs.
Vitali Kremez Inc. () 2020

另一个自称为“ SentinelOne Labs Ransomware”的变体正在分发,仅针对Vitali Kremez,并公开了他的电子邮件地址和电话号码。 

SentinelOne Labs勒索软件
“ SentinelOne Labs Ransomware”变体

此变体的文本为:

~SentinelOne Labs Ransomware~
Your system was unprotected, so we locked down access to Windows.
You need to buy SentinelOne antivirus in orer to restore your computer.
My name is Vitali Kremez. Contacts are below.
Phone: XXX
E-mail 1: XXX
E-mail 2: xxx

After you buy my antivirus I will send you unlock code.
Enter Unlock code: 

这些感染称为MBRLocker,因为它们取代了计算机的“主启动记录”,从而阻止了操作系统启动,并显示了赎金记录或其他消息。

这种感染类型用于Petya等勒索软件攻击中  或用作  破坏性的擦除程序,  以防止人们访问其文件。

在这种特殊情况下,恶意软件开发人员或发行商似乎正试图掩盖Kremez和MalwareHunterTeam的名称,并以破坏性的恶作剧方式释放这种感染。

重申一下,MalwareHunterTeam和Kremez与这种感染无关。

恢复可能

最近,出现了一系列新的MBRLocker,它们似乎是为“有趣”或作为“恶作剧”的一部分而创建的。

最近的MBRLocker的示例
最近的MBRLocker的示例
最近,使用在YouTube和Discord上推广的公开可用工具创建了一系列MBRLocker。
BleepingComputer认为此工具用于创建此MBRLocker来同时拖钓Kremez和MalwareHunterTeam。 

使用此工具创建MBRLocker时,恶意软件首先将计算机的原始MBR备份到安全位置,然后再进行替换。

如果该抽头使用的是相同的MBRLocker构建器,则可以恢复MBR,以便人们可以访问其计算机。

在一个示例中,还存在一种故障保护键盘组合,可以同时按下  CTRL + ALT + ESC 键来还原MBR并启动计算机。

不幸的是,到目前为止,我们还无法获得该恶意软件的样本,以确定它是否是相同的构建器或键盘组合是否有效。

如果您已被感染并知道在何处下载了文件,请在此处提交示例,  或在Twitter上我们联系并下载文件。

本文为转载文章,源自互联网,由网络整理整理编辑,转载请注明出处:https://www.hacksafe.net/articles/web/2189.html

发表评论

电子邮件地址不会被公开。 必填项已用*标注