على خلفية جائحة فيروس كورونا، هناك شعور بأن وباءً رقميًا واسع النطاق قد اندلع بالتوازي معه. . إن معدل النمو في عدد مواقع التصيد والبريد العشوائي والموارد الاحتيالية والبرامج الضارة والأنشطة الضارة المماثلة يثير مخاوف جدية. حجم الفوضى المستمرة يظهر من خلال الأخبار التي تفيد بأن "المبتزين يعدون بعدم مهاجمة المؤسسات الطبية" . نعم، هذا صحيح: أولئك الذين يحمون حياة الناس وصحتهم أثناء الوباء يتعرضون أيضًا لهجمات البرامج الضارة، كما كان الحال في جمهورية التشيك، حيث عطل برنامج الفدية CoViper عمل العديد من المستشفيات .
هناك رغبة في فهم ماهية برامج الفدية التي تستغل موضوع فيروس كورونا ولماذا تظهر بهذه السرعة. تم العثور على عينات من البرامج الضارة على الشبكة – CoViper وCoronaVirus، والتي هاجمت العديد من أجهزة الكمبيوتر، بما في ذلك المستشفيات العامة والمراكز الطبية.
كلا الملفين القابلين للتنفيذ موجودان بتنسيق Portable Executable، مما يشير إلى أنهما موجهان لنظام Windows. يتم تجميعها أيضًا لـ x86. من الجدير بالذكر أنهما متشابهان جدًا مع بعضهما البعض، فقط CoViper مكتوب في دلفي، كما يتضح من تاريخ التجميع في 19 يونيو 1992 وأسماء الأقسام، وCoronaVirus في لغة C. وكلاهما ممثلان للمشفرات.
برامج الفدية أو برامج الفدية هي برامج تقوم، بمجرد وصولها إلى كمبيوتر الضحية، بتشفير ملفات المستخدم، وتعطيل عملية التمهيد العادية لنظام التشغيل، وإبلاغ المستخدم بأنه يحتاج إلى الدفع للمهاجمين لفك تشفيرها.
بعد تشغيل البرنامج، يقوم بالبحث عن ملفات المستخدم الموجودة على الكمبيوتر ويقوم بتشفيرها. يقومون بإجراء عمليات بحث باستخدام وظائف API القياسية، ويمكن العثور بسهولة على أمثلة لاستخدامها على MSDN .
الشكل 1: البحث عن ملفات المستخدم
وبعد فترة من الوقت، يقومون بإعادة تشغيل الكمبيوتر ويعرضون رسالة مماثلة حول حظر الكمبيوتر.
الشكل 2: حظر الرسالة
لتعطيل عملية التمهيد لنظام التشغيل، تستخدم برامج الفدية تقنية بسيطة لتعديل سجل التمهيد (MBR) باستخدام واجهة برمجة تطبيقات Windows.
الشكل 3 تعديل سجل التمهيد
يتم استخدام هذه الطريقة لتصفية جهاز كمبيوتر بواسطة العديد من برامج الفدية الأخرى: SmartRansom وMaze وONI Ransomware وBioskits وMBRlock Ransomware وHDDCryptor Ransomware وRedBoot وUselessDisk. تنفيذ إعادة كتابة MBR متاح لعامة الناس مع ظهور أكواد المصدر لبرامج مثل MBR Locker عبر الإنترنت. تأكيد هذا على جيثب يمكنك العثور على عدد كبير من المستودعات التي تحتوي على كود المصدر أو المشاريع الجاهزة لـ Visual Studio.
تجميع هذا الكود من GitHub والنتيجة هي برنامج يقوم بتعطيل جهاز الكمبيوتر الخاص بالمستخدم في بضع ثوان. ويستغرق تجميعها حوالي خمس أو عشر دقائق.
لقد اتضح أنه لتجميع البرمجيات الخبيثة، لا تحتاج إلى مهارات أو موارد كبيرة؛ إذ يستطيع أي شخص، في أي مكان، القيام بذلك. الكود متاح مجانًا على الإنترنت ويمكن إعادة إنتاجه بسهولة في برامج مماثلة. هذا يجعلني أفكر. وهذه مشكلة خطيرة تتطلب التدخل واتخاذ تدابير معينة.
المصدر: www.habr.com