Ένας hacker αποφάσισε να διανείμει ένα Wiper malware (MBRLocker) και να κατηγορήσει δύο γνωστούς ερευνητές ασφαλείας. Το malware «κλειδώνει» τους χρήστες έξω από τους υπολογιστές τους πριν γίνει εκκίνηση των Windows.
Οι χρήστες εξαπατώνται και κατεβάζουν ένα λογισμικό (crack sites) που προσφέρεται δωρεάν. Μετά από 24 ώρες, διαπιστώνουν ότι δεν μπορούν να αποκτήσουν πρόσβαση στους υπολογιστές τους.
Ο υπολογιστής εμφανίζει ένα μήνυμα που λέει στους χρήστες ότι έχουν μολυνθεί από τους Vitali Kremez και MalwareHunterTeam, δύο από τους πιο γνωστούς ερευνητές ασφαλείας. Φυσικά, οι δύο ερευνητές δεν έχουν καμία σχέση με αυτό το Wiper malware.
Το πλήρες μήνυμα του MBRLocker λέει:
 και να κατηγορήσει δύο γνωστούς ερευνητές ασφαλείας. Το malware «κλειδώνει» τους χρήστες){kind=link}
“Γεια, το όνομά μου είναι Vitali Kremez. Έχω μολύνει τον ηλίθιο υπολογιστή σου. Ηλίθιε.
Στείλε μου στο twitter @ VK_intel αν θέλεις τον υπολογιστή σου πίσω.
Αν δεν απαντήσω, στείλε στο twitter.com/malwrhunterteam.
Για την προστασία του υπολογιστή σου κάνε εγκατάσταση του antivirus λογισμικού SentinelOne. Εργάζομαι εδώ ως επικεφαλής των εργαστηρίων.
Vitali Kremez Inc. () 2020″.
Υπάρχει και μια άλλη παραλλαγή malware, που ονομάζεται “SentinelOne Labs Ransomware” και κατηγορεί μόνο τον Vitali Kremez. Εδώ γίνεται και αποκάλυψη των email και του τηλεφωνικού αριθμού του Kremez.
Το κείμενο αυτής της παραλλαγής αναφέρει:
“~ SentinelOne Labs Ransomware ~
Το σύστημά σας ήταν απροστάτευτο, επομένως αποκλείσαμε την πρόσβαση στα Windows.
Θα χρειαστεί να αγοράσετε το antivirus SentinelOne για να επαναφέρετε τον υπολογιστή σας.
Το όνομά μου είναι Vitali Kremez. Τα στοιχεία επικοινωνίας μου είναι παρακάτω:
Τηλέφωνο: XXX
E-mail 1: XXX
E-mail 2: xxx
Αφού αγοράσετε το antivirus μου, θα σας στείλω έναν κωδικό για να ξεκλειδώσετε τον υπολογιστή.
Εισαγωγή κωδικού ξεκλειδώματος: _”.
Αυτές οι μολύνσεις ονομάζονται MBRLockers, καθώς αντικαθιστούν τo “master boot record” ενός υπολογιστή, εμποδίζοντας την εκκίνηση του λειτουργικού συστήματος. Στη συνέχεια, εμφανίζουν ένα μήνυμα, πιθανότατα για να ζητήσουν λύτρα.
Αυτός ο τύπος μόλυνσης συνήθως συνδυάζεται με ransomware επιθέσεις (π.χ. Petya) ή λειτουργεί απλά σαν ένα καταστροφικό wiper malware, που εμποδίζει την πρόσβαση των χρηστών στα αρχεία τους.
Σε αυτή την περίπτωση, φαίνεται ότι κάποιος hacker θέλησε να αμαυρώσει το όνομα του Kremez και του MalwareHunterTeam. Ένα είδος φάρσας.
Κανένας από τους δύο ερευνητές δεν εμπλέκονται με κανένα τρόπο σε αυτές τις επιθέσεις.
Η ανάκτηση της πρόσβασης στους υπολογιστές μπορεί να είναι δυνατή
Το τελευταίο διάστημα, έχει εκδηλωθεί μια σειρά νέων MBRLockers που φαίνεται να δημιουργούνται για “διασκέδαση” ή ως μέρος κάποιας “φάρσας”.
Πρόσφατα, δημιουργήθηκαν διάφορα MBRLockers με τη χρήση ενός εργαλείου που διατίθεται δημοσίως στο YouTube και το Discord. Πιστεύεται ότι αυτό το εργαλείο χρησιμοποιήθηκε και για το wiper malware που κατηγόρησε τους Kremez και MalwareHunterTeam.
Κατά τη δημιουργία του MBRLocker με αυτό το εργαλείο, το κακόβουλο λογισμικό κάνει πρώτα ένα αντίγραφο ασφαλείας του αρχικού MBR του υπολογιστή σε μια ασφαλή τοποθεσία.
Εάν αυτό το wiper malware χρησιμοποιεί τον ίδιο MBRLocker builder, τότε ίσως είναι δυνατή η ανάκτηση του MBR, και άρα η ανάκτηση της πρόσβασης στον υπολογιστή.
Σε ένα δείγμα, υπήρχε η δυνατότητα επαναφοράς του MBR με το ταυτόχρονο πάτημα των πλήκτρων CTRL + ALT + ESC. Δεν γνωρίζουμε, ακόμα, αν αυτή η μέθοδος είναι αποτελεσματική και σε αυτή την περίπτωση.