على خلفية جائحة فيروس كورونا، هناك شعور بأن وباءً رقميًا واسع النطاق قد اندلع بالتوازي معه.
كلا الملفين القابلين للتنفيذ موجودان بتنسيق Portable Executable، مما يشير إلى أنهما موجهان لنظام Windows. يتم تجميعها أيضًا لـ x86. من الجدير بالذكر أنهما متشابهان جدًا مع بعضهما البعض، فقط CoViper مكتوب في دلفي، كما يتضح من تاريخ التجميع في 19 يونيو 1992 وأسماء الأقسام، وCoronaVirus في لغة C. وكلاهما ممثلان للمشفرات.
برامج الفدية أو برامج الفدية هي برامج تقوم، بمجرد وصولها إلى كمبيوتر الضحية، بتشفير ملفات المستخدم، وتعطيل عملية التمهيد العادية لنظام التشغيل، وإبلاغ المستخدم بأنه يحتاج إلى الدفع للمهاجمين لفك تشفيرها.
بعد تشغيل البرنامج، يقوم بالبحث عن ملفات المستخدم الموجودة على الكمبيوتر ويقوم بتشفيرها. يقومون بإجراء عمليات بحث باستخدام وظائف API القياسية، ويمكن العثور بسهولة على أمثلة لاستخدامها على MSDN
الشكل 1: البحث عن ملفات المستخدم
وبعد فترة من الوقت، يقومون بإعادة تشغيل الكمبيوتر ويعرضون رسالة مماثلة حول حظر الكمبيوتر.
الشكل 2: حظر الرسالة
لتعطيل عملية التمهيد لنظام التشغيل، تستخدم برامج الفدية تقنية بسيطة لتعديل سجل التمهيد (MBR)
الشكل 3 تعديل سجل التمهيد
يتم استخدام هذه الطريقة لتصفية جهاز كمبيوتر بواسطة العديد من برامج الفدية الأخرى: SmartRansom وMaze وONI Ransomware وBioskits وMBRlock Ransomware وHDDCryptor Ransomware وRedBoot وUselessDisk. تنفيذ إعادة كتابة MBR متاح لعامة الناس مع ظهور أكواد المصدر لبرامج مثل MBR Locker عبر الإنترنت. تأكيد هذا على جيثب
تجميع هذا الكود من GitHub
لقد اتضح أنه لتجميع البرمجيات الخبيثة، لا تحتاج إلى مهارات أو موارد كبيرة؛ إذ يستطيع أي شخص، في أي مكان، القيام بذلك. الكود متاح مجانًا على الإنترنت ويمكن إعادة إنتاجه بسهولة في برامج مماثلة. هذا يجعلني أفكر. وهذه مشكلة خطيرة تتطلب التدخل واتخاذ تدابير معينة.
المصدر: www.habr.com