Recientemente se ha descubierto una nueva variante de malware, un screen-locker (ransomware que impide a usuarios el acceso a su equipo), el mismo ha sido bautizado como «CoronaLocker» y se encuentra disfrazado en un programa falso para obtener contraseñas WiFi, es decir simula ser un programa inofensivo para obtener contraseñas WiFi y así poder conectarte donde desees, pero lo que realmente hace es bloquear el equipo y pide un pago por su liberación.
Los usuarios son infectados por este malware al descargar e instalar el programa llamado «wifihacker.exe». Una vez instalado, la computadora se reiniciará y, al reiniciar, se mostrará a los usuarios una pantalla de bloqueo que indica «estás infectado con el virus corona» con un correo electrónico de contacto.
Detalles Técnicos.
Una vez descargado e instalado el programa «wifihacker.exe», dentro de este se pueden encontrar varios scripts Visual Basic, archivos batch y un ejecutable. Estos archivos son copiados a la ruta «C:\Program Files\vb\wifi hacker\», donde el archivo «wh.bat» es el primero en ejecutarse, dicho batch utiliza el comando de sistema attrib para remover los atributos del directorio «C:\wh\», además elimina y modifica el contenido del mismo.
Seguidamente el script, elimina el directorio «C:\wh\» con el comando rd (Remove Directory), luego de esto, crea dos directorios «C:\wh\» (directorio que ha sido eliminado anteriormente) y «C:\awh», para copiar los archivos dentro de la carpeta de instalación ubicada en la ruta «C:\Program Files\vb\wifi hacker\« al directorio recién creado «C:\wh». Por último es ejecutado el script bar.vbs encargado crear una shell, y ejecutar otros scripts batch.
Uno de los scripts, se encarga de eliminar los archivos del directorio de instalación para pasar desapercibido, y finalmente con la orden shutdown apaga el equipo inmediatamente.
En la clave de registro Software\Microsoft\Windows\CurrentVersion\Policies\System los valores legalnoticecaption y legalnoticetext son seteados con mensajes de «you are infected of corona virus…» y un correo electrónico de contacto. Ambos aparecen durante el inicio del sistema Windows, con el fin de informar y asustar a la víctima.
Por otro lado, en la clave de registro Software\Microsoft\Windows\CurrentVersion\run son asignados por orden, la ejecución de 3 archivos durante el inicio del sistema, dichos archivos son: speakwh.vbs, diex.bat y antiwh.vbs.
El script speakwh.vbs emite el sonido «Corona virus» continuamente en el sistema, a través de la librería speaks de Visual Basic. Por otro lado el diex.bat desactiva el proceso explorer.exe y se mueve del directorio actual al directorio de «windows\system32».
Mientras tanto, en el escritorio de Windows el tercer archivo antiwh.vbs muestra al usuario el screen-locker con una dirección de correo electrónico y solicita una contraseña para descifrar, afirmando falsamente que todos los archivos del sistema han sido cifrados con «corona virus», y no se podrá recuperar el acceso a los mismos sin la contraseña de descifrado. Dicha contraseña se encuentra en el código fuente del script y es «vb», al ingresar esta contraseña el proceso explorer.exe, el cual había sido finalizado vuelve a iniciarse y se obtiene acceso al escritorio de Windows.
Sin embargo, el malware crea una variedad de configuraciones en las claves de registro, que no permiten la utilización del administrador de tareas, la ejecución de comandos del sistema, oculta los iconos e imposibilita la utilización de dispositivos USB.
A Continuación puede observar un sistema infectado por este malware en el siguiente video.
Recomendaciones:
- Mantenga actualizado a la ultima versión el sistema operativo y el antivirus para controlar y evitar la ejecución de malware, active las actualizaciones automáticas tanto del sistema operativo como del antivirus.
- Configure su sistema para mostrar las extensiones ocultas de los archivos, y analice posibles archivos sospechosos con su antivirus.
- Realice siempre con una copia de seguridad actualizada, es la mejor forma de evitar pérdida de información, teniendo en cuenta que esa copia de seguridad debe estar por fuera del equipo, como por ejemplo en un disco cifrado extraíble/portable.
- Preste atención a los detalles antes de descargar cualquier tipo de archivo, o programa de internet. Asegurarse de que estos provengan de fuentes confiables (páginas web oficiales).
- No pague nunca el dinero solicitado para liberar sus archivos, esto no asegura que recuperes tus datos o el acceso a tu equipo, y estarás dándoles medios a los ciberdelincuentes para seguir estafando a más gente.
- Reporte su caso al CERT-PY, abuse@cert.gov.py.
Referencias: