Koronavirus pandemiyası fonunda onunla paralel olaraq eyni dərəcədə genişmiqyaslı rəqəmsal epidemiyanın da başladığı hiss olunur. . Fişinq saytlarının, spamların, fırıldaqçı resursların, zərərli proqramların və oxşar zərərli fəaliyyətlərin sayının artım tempi ciddi narahatlıq doğurur. Davam edən qanunsuzluğun miqyasını “qəsbkarların tibb müəssisələrinə basqın etməyəcəklərinə söz verirlər” xəbəri göstərir. . Bəli, bu doğrudur: pandemiya zamanı insanların həyatını və sağlamlığını qoruyanlar, CoViper ransomware proqramının bir neçə xəstəxananın işini pozduğu Çexiyada olduğu kimi, zərərli proqram hücumlarına da məruz qalırlar. .
Koronavirus mövzusundan istifadə edən ransomware proqramının nə olduğunu və niyə bu qədər tez göründüyünü anlamaq istəyi var. Şəbəkədə zərərli proqram nümunələri - dövlət xəstəxanaları və tibb mərkəzləri də daxil olmaqla bir çox kompüterə hücum edən CoViper və CoronaVirus aşkar edilib.
Bu icra edilə bilən faylların hər ikisi Portable Executable formatındadır ki, bu da onların Windows-a yönəldiyini göstərir. Onlar həmçinin x86 üçün tərtib edilmişdir. Maraqlıdır ki, onlar bir-birinə çox bənzəyirlər, Delphi-də yalnız CoViper yazılıb, bunu 19 iyun 1992-ci il tarixli tərtib tarixi və bölmə adları, C-də isə CoronaVirus sübut edir. Hər ikisi şifrələyicilərin nümayəndələridir.
Ransomware və ya ransomware, qurbanın kompüterində bir dəfə istifadəçi fayllarını şifrələyən, əməliyyat sisteminin normal yükləmə prosesini pozan və istifadəçiyə onun şifrəsini açmaq üçün təcavüzkarlara pul ödəməli olduğunu bildirən proqramlardır.
Proqramı işə saldıqdan sonra o, kompüterdə istifadəçi fayllarını axtarır və onları şifrələyir. Onlar standart API funksiyalarından istifadə edərək axtarışlar aparırlar, onlardan istifadə nümunələri MSDN-də asanlıqla tapıla bilər .
Şəkil 1 İstifadəçi fayllarını axtarın
Bir müddət sonra onlar kompüteri yenidən işə salır və kompüterin bloklanması ilə bağlı oxşar mesajı göstərirlər.
Şəkil.2 Bloklama mesajı
Əməliyyat sisteminin yükləmə prosesini pozmaq üçün ransomware yükləmə qeydini (MBR) dəyişdirmək üçün sadə bir texnikadan istifadə edir. Windows API istifadə edərək.
Şəkil 3 Yükləmə qeydinin modifikasiyası
Kompüteri çıxarmaq üçün bu üsul bir çox digər ransomware tərəfindən istifadə olunur: SmartRansom, Maze, ONI Ransomware, Bioskits, MBRlock Ransomware, HDDCryptor Ransomware, RedBoot, UselessDisk. MBR-nin yenidən yazılmasının həyata keçirilməsi MBR Locker onlayn kimi proqramlar üçün mənbə kodlarının görünüşü ilə geniş ictimaiyyətə açıqdır. Bunu GitHub-da təsdiqləyirik Visual Studio üçün mənbə kodu və ya hazır layihələri olan çoxlu sayda depo tapa bilərsiniz.
Bu kodu GitHub-dan tərtib etmək , nəticə istifadəçinin kompüterini bir neçə saniyə ərzində söndürən proqramdır. Və onu yığmaq üçün təxminən beş-on dəqiqə çəkir.
Məlum olub ki, zərərli proqramları yığmaq üçün böyük bacarıqlara və ya resurslara malik olmaq lazım deyil, hər kəs, hər yerdə bunu edə bilər. Kod İnternetdə sərbəst mövcuddur və oxşar proqramlarda asanlıqla təkrarlana bilər. Bu məni düşündürür. Bu, müdaxilə və müəyyən tədbirlərin görülməsini tələb edən ciddi problemdir.
Mənbə: www.habr.com