美国科技媒体Bleeping Computer于近日发布警告称，一种名为“CoronaVirus”的新型勒索病毒正在通过山寨版的WiseCleaner网站传播，且受害者同时还会感染另一种名为“Kpot”窃密木马。

Wise Cleaner，一家专注于Windows系统清理优化工具开发的公司，旗下产品Wise Care 365集成了一键垃圾清理、碎片整理磁盘释放以及系统优化电脑提速等一系列功能，据称全球下载量超过1.5亿次。

显然，攻击者选择Wise Cleaner网站作为克隆对象的原因，是想要借助Wise Cleaner的好名声感染尽可能多的受害者。

图1.虚假WiseCleaner网站

恶意文件分析

下载的文件名为“WSHSetup.exe”，它充当了CoronaVirus和Kpot的下载器。

文件执行后，它将尝试从远程网站下载文件。

当前能够下载的文件只有file1.exe和file2.exe，但是实际上网站托管有多个文件。

图2.远程网站托管的文件

恶意软件分析

安装的第一个文件是file1.exe，也就是Kpot窃密木马。

执行后，它将尝试从浏览器、各种社交APP、VPN、FTP、电子邮箱等客户端以及Steam和Battle.net等游戏帐户中窃取Cookie和登录凭证。

此外，它还将尝试截取活动桌面的屏幕，以及尝试窃取与加密货币钱包相关的信息。

最后，所有这些信息都将被上传到远程网站。

安装的第二个文件是file2.exe，也就是CoronaVirus勒索病毒，它将加密受感染计算机上的文件。

在加密文件时，它将仅针对包含如下扩展名的文件。

图3.目标文件扩展名

加密的文件将被重命名，出现攻击者的电子邮箱地址。

例如，名为“test.jpg”的文件在被加密后，文件名将变更为“coronaVi2022@protonmail.ch___1.jpg”。

图4.加密后的文件示例

最后，在每个被加密文件所在的文件夹以及桌面上，CoronaVirus还将创建一个名为“CoronaVirus.txt”的赎金票据，向受害者勒索0.008比特币（约价值50美元）。

图5. CoronaVirus赎金票据

此外，CoronaVirus还会将C盘重名为“CoronaVirus”，虽然我们并不知道CoronaVirus的开发者为何要这样设计。

图6.被重命名的C盘

在受感染计算机重启之后，我们还可以看到一个锁屏画面，其内容与CoronaVirus赎金票据的内容完全相同。

图7.CoronaVirus锁屏画面

根据SentinelLabs负责人 Vitali Kremez的说法，这是通过修改HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession Manager "BootExecute" 注册表值来实现的。

图8.修改后的BootExecute注册表项

45分钟之后，锁屏画面将切换到稍显不同的消息。但不变的是，你仍然无法通过输入任何代码来进入系统。

图9.切换后的锁屏画面

如果你再等待15分钟，那么你将能够进入系统，并在登录后看到CoronaVirus.txt赎金票据。

基于较低的赎金金额以及至今没有一毛钱收入的比特币钱包地址，安全研究人员认为CoronaVirus的主要作用是分散受害者的注意，以便给Kpot打掩护，而不是勒索赎金。

结语

通过这篇文章，我们认识了一种此前从未被公开报道过的新型勒索病毒，它有一个非常“时髦”的名字——CoronaVirus（冠状病毒）。

尽管具备勒索软件的所有功能，但CoronaVirus被认为目前并非主要用来勒索赎金，而是给窃密木马Kpot打掩护，以确保受害者不会注意到自己的密码正在被盗取。

如此看来，如果你感染了CoronaVirus，那么我们奉劝你赶紧另找一台电脑修改自己的各种密码，以避免遭受不必要的经济损失。