На фоне пандэміі каранавіруса ўзнікае адчуванне таго, што паралельна з ёй успыхнула не менш маштабная лічбавая эпідэмія. . Тэмпы росту колькасці фішынгавых сайтаў, спаму, ашуканскіх рэсурсаў, Малвары і таму падобнай шкоднаснай актыўнасці выклікаюць сур'ёзныя асцярогі. Аб размаху беззаконня, якое робіцца, кажа навіна аб тым, што «вымагальнікі абяцаюць не атакаваць медыцынскія ўстановы» . Так, менавіта так: тыя, хто падчас пандэміі стаіць на абароне жыцця і здароўя людзей, таксама падвяргаюцца нападам шкоднаснага праграмнага забеспячэння, як гэта было ў Чэхіі, дзе шыфравальшчык-вымагальнік CoViper парушыў працу некалькіх бальніц. .
Узнікае жаданне зразумець, што ўяўляюць сабой вымагальнікі, якія эксплуатуюць каранавірусную тэматыку і чаму яны так хутка з'яўляюцца. У сетцы былі знойдзеныя ўзоры шкоднаснага ПА - CoViper і CoronaVirus, якія атакавалі мноства кампутараў, у тым ліку ў дзяржаўных бальніцах і медыцынскіх цэнтрах.
Абодва гэтых выкананых файла маюць фармат Portable Executable, што кажа аб тым, што яны нацэлены на Windows. Таксама яны скампіляваныя пад x86. Характэрна, што яны вельмі падобныя сябар на сябра, толькі CoViper напісаны на Delphi, пра што сведчыць дата кампіляцыі 19 чэрвеня 1992 гады і імёны секцый, а CoronaVirus на З. Абодва прадстаўнікі шыфравальшчыкаў.
Шыфравальшчыкі-вымагальнікі або ransomware уяўляюць сабой праграмы, якія, трапляючы на кампутар ахвяры, шыфруюць карыстацкія файлы, парушаюць звычайны працэс загрузкі аперацыйнай сістэмы і інфармуюць карыстача аб тым, што для расшыфроўкі яму трэба заплаціць зламыснікам.
Пасля запуску праграмы шукаюць прыстасаваныя файлы на кампутары і шыфруюць іх. Пошук яны выконваюць стандартнымі API функцыямі, прыклады выкарыстання якіх можна лёгка знайсці на MSDN .
Мал.1 Пошук карыстацкіх файлаў
Праз некаторы час яны перазагружаюць кампутар і выводзяць падобнае паведамленне аб блакіроўцы кампутара.
Мал.2 Паведамленне аб блакіроўцы
Для парушэння працэсу загрузкі аперацыйнай сістэмы шыфравальшчыкі выкарыстоўваюць няхітры прыём мадыфікацыі загрузнага запісу (MBR) з дапамогай API Windows.
Мал.3 Мадыфікацыя загрузнага запісу
Такі спосаб вываду кампутара выкарыстоўваюць многія іншыя шыфравальшчыкі SmartRansom, Maze, ONI Ransomware, Bioskits, MBRlock Ransomware, HDDCryptor Ransomware, RedBoot, UselessDisk. Рэалізацыя перазапісу MBR даступная шырокай публіцы са з'яўленнем у сетцы зыходных кодаў такіх праграм як MBR Locker. У пацверджанне гэтаму на GitHub можна знайсці велізарную колькасць рэпазітароў з зыходным кодам або гатовымі праектамі пад Visual Studio.
Скампіляваўшы гэты код c GitHub , Атрымліваецца праграма, якая выводзіць кампутар карыстальніка з ладу за некалькі секунд. І на зборку яе трэба хвілін пяць ці дзесяць.
Атрымліваецца, каб сабраць шкоднасны малвар не трэба валодаць вялікімі навыкамі ці сродкамі, гэта можа зрабіць хто заўгодна і дзе заўгодна. Код свабодна гуляе ў сетцы і можа спакойна размнажацца ў падобных праграмах. Мяне гэта прымушае задумацца. Гэта сур'ёзная праблема, якая патрабуе ўмяшання і прыняцці пэўных мер.
Крыніца: habr.com