Max Kersten ผู้เชี่ยวชาญด้านความปลอดภัย ค้นพบ CoronaLocker มัลแวร์ตัวใหม่ ที่แฝงมาในรูปของไฟล์ ‘wifihacker.exe’ ซึ่ง CoronaLocker คือ Screenlockers เป็นโปรแกรมมัลแวร์ที่แสดงหน้าจอล็อคเมื่อเข้าสู่ระบบ Windows เพื่อให้ผู้ใช้งานไม่สามารถเข้าถึงเดสก์ท็อป Windows หรือโต้ตอบกับโปรแกรมและไฟล์ที่ติดตั้งอื่น ๆ ได้ วิธีการของมัลแวร์ตัวนี้คือ หลังจากที่ติดตั้งโปรแกรมเสร็จแล้ว เครื่องคอมพิวเตอร์จะ restart อัตโนมัติ จากนั้นจะพบข้อความ “you are infected of corona virus” พร้อมกับ email [email protected] เพื่อให้ผู้ใช้งาน Login ตามที่ข้อความที่พบนั้น แต่เมื่อ Login แล้วจะพบกับข้อความที่บอกว่าเครื่องถูก Encrypted by Coronavirus และจำเป็นต้องใส่ Code to Decrypt พร้อมกับเสียงพูด “Coronavirus” ซ้ำๆ ซึ่งเป็นการสร้างความรำคาญให้แก่ผู้ใช้งานเป็นอย่างมาก

ผู้เชี่ยวชาญฯ ได้ลองพิมคำว่า “vb” ลงไปในช่อง Code to Decrypt เพื่อ Bypass หน้านี้ ผลปรากฏกว่าสามารถเข้าสู่หน้า Windows desktop ได้ แต่จะไม่สามารถใช้งาน Task Manager , ไม่สามารถ Run คำสั่งเพื่อทำงาน และ Desktop icons ต่าง ๆ จะถูกซ่อน รวมทั้ง Start Menu ถูก Disable เนื่องจากมัลร์แวร์ตัวนี้เข้าไปแก้ไขการตั้งค่าใน Registry ซึ่งถ้าหากสามารถตรวจสอบย้อนกลับได้ว่าค่า Registry ตัวไหนที่ถูกแก้ไขไปบ้างก็มีความเป็นได้ที่จะแก้ไขให้กลับมาเป็นแบบเดิมได้ แต่อย่างไรก็ตาม ขอให้ระมัดระวังในการดาวน์โหลดใด ๆ เพื่อหลีกเลี่ยงความเสี่ยงที่จะติดมัลแวร์

ที่มา :

https://www.bleepingcomputer.com/news/security/new-coronavirus-screenlocker-malware-is-extremely-annoying/
https://maxkersten.nl/binary-analysis-course/malware-analysis/corona-locker/
https://vimeo.com/409974286