Teen die agtergrond van die koronaviruspandemie is daar 'n gevoel dat 'n ewe grootskaalse digitale epidemie parallel daarmee uitgebreek het. . Die tempo van groei in die aantal uitvissingswerwe, strooipos, bedrieglike hulpbronne, wanware en soortgelyke kwaadwillige aktiwiteite wek ernstige kommer. Die omvang van die voortslepende wetteloosheid word aangedui deur die nuus dat “afpersers belowe om nie mediese instellings aan te val nie” . Ja, dit is reg: diegene wat mense se lewens en gesondheid tydens die pandemie beskerm, is ook onderhewig aan wanware-aanvalle, soos die geval was in die Tsjeggiese Republiek, waar die CoViper-losprys die werk van verskeie hospitale ontwrig het. .
Daar is 'n begeerte om te verstaan wat losprysware is wat die koronavirus-tema ontgin en hoekom dit so vinnig verskyn. Malware-monsters is op die netwerk gevind - CoViper en CoronaVirus, wat baie rekenaars aangeval het, insluitend in openbare hospitale en mediese sentrums.
Albei hierdie uitvoerbare lêers is in draagbare uitvoerbare formaat, wat daarop dui dat hulle op Windows gemik is. Hulle is ook saamgestel vir x86. Dit is opmerklik dat hulle baie soortgelyk aan mekaar is, slegs CoViper is in Delphi geskryf, soos blyk uit die samestellingsdatum van 19 Junie 1992 en afdelingsname, en CoronaVirus in C. Albei is verteenwoordigers van enkripteers.
Ransomware of ransomware is programme wat, een keer op 'n slagoffer se rekenaar, gebruikerslêers enkripteer, die normale selflaaiproses van die bedryfstelsel ontwrig en die gebruiker inlig dat hy die aanvallers moet betaal om dit te dekripteer.
Nadat die program geloods is, soek dit gebruikerslêers op die rekenaar en enkripteer dit. Hulle voer soektogte uit met behulp van standaard API-funksies, waarvan voorbeelde maklik op MSDN gevind kan word .
Fig.1 Soek vir gebruikerslêers
Na 'n rukkie herbegin hulle die rekenaar en vertoon 'n soortgelyke boodskap oor die rekenaar wat geblokkeer is.
Fig.2 Blokkeerboodskap
Om die opstartproses van die bedryfstelsel te ontwrig, gebruik ransomware 'n eenvoudige tegniek om die selflaairekord (MBR) te wysig. met behulp van die Windows API.
Fig.3 Wysiging van selflaairekord
Hierdie metode om 'n rekenaar te eksfiltreer word deur baie ander losprysware gebruik: SmartRansom, Maze, ONI Ransomware, Bioskits, MBRlock Ransomware, HDDCryptor Ransomware, RedBoot, UselessDisk. Die implementering van MBR-herskryf is beskikbaar vir die algemene publiek met die verskyning van bronkodes vir programme soos MBR Locker aanlyn. Bevestig dit op GitHub jy kan 'n groot aantal bewaarplekke vind met bronkode of klaargemaakte projekte vir Visual Studio.
Samestelling van hierdie kode vanaf GitHub , die resultaat is 'n program wat die gebruiker se rekenaar binne 'n paar sekondes deaktiveer. En dit neem so vyf of tien minute om dit te monteer.
Dit blyk dat jy nie oor groot vaardighede of hulpbronne hoef te beskik om kwaadwillige wanware saam te stel nie; enigiemand, enige plek kan dit doen. Die kode is vrylik op die internet beskikbaar en kan maklik in soortgelyke programme gereproduseer word. Dit laat my dink. Dit is 'n ernstige probleem wat ingryping en die neem van sekere maatreëls vereis.
Bron: will.com