На фоне пандэміі каранавіруса ўзнікае адчуванне таго, што паралельна з ёй успыхнула не менш маштабная лічбавая эпідэмія.
Абодва гэтых выкананых файла маюць фармат Portable Executable, што кажа аб тым, што яны нацэлены на Windows. Таксама яны скампіляваныя пад x86. Характэрна, што яны вельмі падобныя сябар на сябра, толькі CoViper напісаны на Delphi, пра што сведчыць дата кампіляцыі 19 чэрвеня 1992 гады і імёны секцый, а CoronaVirus на З. Абодва прадстаўнікі шыфравальшчыкаў.
Шыфравальшчыкі-вымагальнікі або ransomware уяўляюць сабой праграмы, якія, трапляючы на кампутар ахвяры, шыфруюць карыстацкія файлы, парушаюць звычайны працэс загрузкі аперацыйнай сістэмы і інфармуюць карыстача аб тым, што для расшыфроўкі яму трэба заплаціць зламыснікам.
Пасля запуску праграмы шукаюць прыстасаваныя файлы на кампутары і шыфруюць іх. Пошук яны выконваюць стандартнымі API функцыямі, прыклады выкарыстання якіх можна лёгка знайсці на MSDN
Мал.1 Пошук карыстацкіх файлаў
Праз некаторы час яны перазагружаюць кампутар і выводзяць падобнае паведамленне аб блакіроўцы кампутара.
Мал.2 Паведамленне аб блакіроўцы
Для парушэння працэсу загрузкі аперацыйнай сістэмы шыфравальшчыкі выкарыстоўваюць няхітры прыём мадыфікацыі загрузнага запісу (MBR)
Мал.3 Мадыфікацыя загрузнага запісу
Такі спосаб вываду кампутара выкарыстоўваюць многія іншыя шыфравальшчыкі SmartRansom, Maze, ONI Ransomware, Bioskits, MBRlock Ransomware, HDDCryptor Ransomware, RedBoot, UselessDisk. Рэалізацыя перазапісу MBR даступная шырокай публіцы са з'яўленнем у сетцы зыходных кодаў такіх праграм як MBR Locker. У пацверджанне гэтаму на GitHub
Скампіляваўшы гэты код c GitHub
Атрымліваецца, каб сабраць шкоднасны малвар не трэба валодаць вялікімі навыкамі ці сродкамі, гэта можа зрабіць хто заўгодна і дзе заўгодна. Код свабодна гуляе ў сетцы і можа спакойна размнажацца ў падобных праграмах. Мяне гэта прымушае задумацца. Гэта сур'ёзная праблема, якая патрабуе ўмяшання і прыняцці пэўных мер.
Крыніца: habr.com