新型冠状病毒恶意软件利用全球COVID-19恐惧来感染设备和窃取数据

2020年 3月 20日 ，爱尔兰都柏林 -随着冠状病毒的持续快速传播，互联网用户担心会与该病毒接触，并急切希望获得有关冠状病毒爆发的更多信息。网络犯罪分子利用冠状病毒（COVID-19）大流行，并利用脆弱人群担心传播恶意软件的恐惧。在过去几天中，以COVID-19为主题的许多网络攻击和恶意软件传播已席卷全球。

据信，一种高级持续性威胁（APT）是在2020年3月针对被称为" 恶性熊猫 "的 目标攻击之后进行的，该攻击 还传播了冠状病毒恶意软件。 "恶性熊猫"攻击使用了针对蒙古政府机构的网络钓鱼电子邮件。这些电子邮件带有RTF文件附件，据称其中包含有关冠状病毒的重要信息。恶意RTF附件中包含的有效负载是RoyalRoad恶意软件工具的一个版本。该工具通常与中国的威胁参与者有关，利用了MS Word中的公式编辑器漏洞。

冠状病毒恶意软件 在很短的时间内就采取了许多不同的形式。 2020年3月中旬，一种新的勒索软件在野外出现，名为CoronaVi2020。 CoronaVi2020勒索软件主要通过垃圾邮件和恶意附件进行分发，它要求相对适度的0.008 BTC（约50美元）勒索，并且似乎针对普通家庭用户而不是公司和政府机构。勒索软件会影响大多数常见的文件类型，包括图像，数据库和Office文件，勒索软件将其作者的电子邮件（coronaVi2022 [at] protonmail [ch]）附加在受影响的文件之前。

该 冠状病毒勒索 也看准捆绑在一起的信息，窃取木马Kpot。一个恶意站点正在分发名为WSHSetup.exe的可执行文件，该可执行文件实际上是捆绑了冠状病毒勒索软件和 Kpot Trojan 的 捆绑软件 。 Kpot可以从许多Web浏览器，电子邮件帐户，加密货币钱包和游戏分发客户端中抓取帐户信息。

连同台式机CoronaVi2022勒索软件一起，手机被冒充冠状病毒跟踪器的恶意应用击中。移动恶意软件的行为或多或少类似于勒索软件，锁定了手机并索要250美元的赎金。值得庆幸的是，尽管移动勒索软件向受害人发送了非常危险的消息，但却是一件急事。安全研究人员能够在储物柜本身中找到一个硬编码的通用密钥。拥有移动式冠状病毒追踪器勒索软件的任何人都可以使用代码" 4865083501"来解锁手机。该发现是由DomainTools安全研究小组做出的。

冠状病毒恶意软件的突然激增也使一些较旧的威胁再次成为热门话题。 在伪造的在线COVID-19感染和死亡率追踪地图中使用了 信息窃取者 AZORult之后 ， 该信息窃取者 于2016年首次亮相。真实地图由约翰·霍普金斯大学的科学和工程中心维护，并托管在完全不同的域中。托管伪造地图的恶意站点完美地复制了其视觉样式，但还分发了名为" corona.exe"的有效负载，其中包含AZORult并抓取了受害者系统，用于加密货币钱包和Steam帐户等。托管恶意在线地图的域已被删除。

家庭用户保持安全并保护其系统免受冠状病毒恶意软件攻击的最佳方法是仅从受信任的站点下载文件，切勿单击任何未经请求的链接，并仔细检查其浏览器的地址栏以查看URL的拼写是否正确并指向达到他们的期望。

随着现实世界中COVID-19病例在许多新国家中呈指数级增长，计算机用户应期望黑客继续利用这一全球健康危机。

关于EnigmaSoft Limited软件有限公司

EnigmaSoft Limited是一家爱尔兰私人控股公司，在爱尔兰都柏林设有办事处和全球总部。 EnigmaSoft以开发和分发SpyHunter （一种反恶意软件产品和服务）而闻名。 SpyHunter可检测并删除恶意软件，增强Internet隐私并消除安全威胁 – 解决诸如恶意软件，勒索软件，特洛伊木马，流氓反间谍软件以及其他影响网络上数百万PC用户的恶意安全威胁等问题。