Novo malware com tema de coronavírus bloqueia você no Windows

Na semana passada, o MalwareHunterTeam descobriu o instalador de um novo malware com o nome de "Coronavirus" sendo distribuído como o arquivo COVID-19.exe.

Quando instalado, o malware extrai vários arquivos para uma pasta em% Temp% e, em seguida, executa um arquivo em lotes chamado Coronavirus.bat. Esse arquivo em lotes moverá os arquivos extraídos para uma pasta C: \ COVID-19, configurará vários programas para iniciar automaticamente no logon e reiniciará o Windows.

Depois que o Windows for reiniciado, uma imagem do Coronavirus será exibida junto com uma mensagem informando "o coronavirus infectou seu PC!"

A análise da SonicWall e da Avast  afirma que também será executado outro programa que faz o backup do Master Boot Record (MBR) da unidade de inicialização em outro local e o substitui por um MBR personalizado.

Na reinicialização, o Registro mestre de inicialização personalizado exibirá uma mensagem informando "Seu computador foi lixeira" e o Windows não será iniciado.

Felizmente, a análise da Avast mostra que um desvio foi adicionado ao código MBR personalizado que permite restaurar o registro mestre de inicialização original para que você possa inicializar normalmente. Isso pode ser feito pressionando as teclas CTRL + ALT + ESC ao mesmo tempo.

Outras pesquisas da BleepingComputer descobriram outra variante  do mesmo desenvolvedor chamada 'RedMist'. Quando instalado, em vez de mostrar a imagem do Coronavírus, ele mostra uma imagem do Lula Molusco dizendo "Lula Molusco está observando você". 

Como a versão do Coronavirus, essa variante avisa que, após a reinicialização, você não poderá obter acesso ao Windows novamente.

Essa variante também suporta o  desvio CTRL + ALT + ESC para que você possa restaurar o MBR original.

Note-se que essas infecções não excluem seus dados ou destroem a tabela de partição. Simplesmente restaurar o MBR a partir do local de backup permitirá iniciar o Windows e acessar seus dados novamente.

Um fluxo constante de MBRLockers sendo feitos

O BleepingComputer conseguiu encontrar diversas variantes do MBRLocker lançadas na semana passada usando diferentes mensagens, memes e piadas internas,

Todas essas variantes do MBRLocker estão sendo criadas com uma ferramenta disponível publicamente, lançada no YouTube e no Discord

Abaixo está uma pequena amostra dos vários MBRLockers lançados esta semana e criados usando este utilitário.

O BleepingComputer acredita que todos esses MBRLockers estão sendo criados para 'diversão' ou como parte de 'brincadeiras' para serem exibidas nas pessoas.

Embora não se saiba se eles estão sendo distribuídos com intuito malicioso, os usuários ainda devem ter o cuidado de executar qualquer programa compartilhado por outras pessoas, especialmente no Discord, sem primeiro examiná-los usando o VirusTotal .