下載木馬病毒(一次下載，中倆毒!新型勒索病毒CoronaVirus攜竊密木馬Kpot來襲)

美國科技媒體Bleeping Computer于近日發布警告稱，一種名為“CoronaVirus”的新型勒索病毒正在通過山寨版的WiseCleaner網站傳播，且受害者同時還會感染另一種名為“Kpot”竊密木馬。

Wise Cleaner，一家專注于Windows系統清理優化工具開發的公司，旗下產品Wise Care 365集成了一鍵垃圾清理、碎片整理磁盤釋放以及系統優化電腦提速等一系列功能，據稱全球下載量超過1.5億次。

顯然，攻擊者選擇Wise Cleaner網站作為克隆對象的原因，是想要借助Wise Cleaner的好名聲感染盡可能多的受害者。

圖1.虛假WiseCleaner網站

惡意文件分析

下載的文件名為“WSHSetup.exe”，它充當了CoronaVirus和Kpot的下載器。

文件執行后，它將嘗試從遠程網站下載文件。

當前能夠下載的文件只有file1.exe和file2.exe，但是實際上網站托管有多個文件。

圖2.遠程網站托管的文件

惡意軟件分析

安裝的第一個文件是file1.exe，也就是Kpot竊密木馬。

執行后，它將嘗試從瀏覽器、各種社交APP、VPN、FTP、電子郵箱等客戶端以及Steam和Battle.net等游戲帳戶中竊取Cookie和登錄憑證。

此外，它還將嘗試截取活動桌面的屏幕，以及嘗試竊取與加密貨幣錢包相關的信息。

最后，所有這些信息都將被上傳到遠程網站。

安裝的第二個文件是file2.exe，也就是CoronaVirus勒索病毒，它將加密受感染計算機上的文件。

在加密文件時，它將僅針對包含如下擴展名的文件。

圖3.目標文件擴展名

加密的文件將被重命名，出現攻擊者的電子郵箱地址。

例如，名為“test.jpg”的文件在被加密后，文件名將變更為“coronaVi2022@protonmail.ch___1.jpg”。

圖4.加密后的文件示例

最后，在每個被加密文件所在的文件夾以及桌面上，CoronaVirus還將創建一個名為“CoronaVirus.txt”的贖金票據，向受害者勒索0.008比特幣（約價值50美元）。

圖5. CoronaVirus贖金票據

此外，CoronaVirus還會將C盤重名為“CoronaVirus”，雖然我們并不知道CoronaVirus的開發者為何要這樣設計。

圖6.被重命名的C盤

在受感染計算機重啟之后，我們還可以看到一個鎖屏畫面，其內容與CoronaVirus贖金票據的內容完全相同。

圖7.CoronaVirus鎖屏畫面

根據SentinelLabs負責人 Vitali Kremez的說法，這是通過修改HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager "BootExecute" 注冊表值來實現的。

圖8.修改后的BootExecute注冊表項

45分鐘之后，鎖屏畫面將切換到稍顯不同的消息。但不變的是，你仍然無法通過輸入任何代碼來進入系統。

圖9.切換后的鎖屏畫面

如果你再等待15分鐘，那么你將能夠進入系統，并在登錄后看到CoronaVirus.txt贖金票據。

基于較低的贖金金額以及至今沒有一毛錢收入的比特幣錢包地址，安全研究人員認為CoronaVirus的主要作用是分散受害者的注意，以便給Kpot打掩護，而不是勒索贖金。

結語

通過這篇文章，我們認識了一種此前從未被公開報道過的新型勒索病毒，它有一個非常“時髦”的名字——CoronaVirus（冠狀病毒）。

盡管具備勒索軟件的所有功能，但CoronaVirus被認為目前并非主要用來勒索贖金，而是給竊密木馬Kpot打掩護，以確保受害者不會注意到自己的密碼正在被盜取。

如此看來，如果你感染了CoronaVirus，那么我們奉勸你趕緊另找一臺電腦修改自己的各種密碼，以避免遭受不必要的經濟損失。