U kontekstu pandemije koronavirusa, postoji osjećaj da je paralelno s njom izbila i digitalna epidemija jednako velikih razmjera. . Stopa rasta broja phishing lokacija, neželjene pošte, lažnih resursa, zlonamjernog softvera i sličnih zlonamjernih aktivnosti izaziva ozbiljnu zabrinutost. Na razmjere bezakonja koja je u toku, govori vijest da "iznuđivači obećavaju da neće napadati medicinske ustanove" . Da, tako je: oni koji štite živote i zdravlje ljudi tokom pandemije također su podložni napadima zlonamjernog softvera, kao što je bio slučaj u Češkoj, gdje je CoViper ransomware poremetio rad nekoliko bolnica .
Postoji želja da se shvati šta je ransomware koji iskorištava temu koronavirusa i zašto se tako brzo pojavljuju. Na mreži su pronađeni uzorci zlonamjernog softvera - CoViper i CoronaVirus, koji su napali mnoge računare, uključujući javne bolnice i medicinske centre.
Obje ove izvršne datoteke su u Portable Executable formatu, što sugerira da su usmjerene na Windows. Oni su takođe kompajlirani za x86. Važno je napomenuti da su međusobno veoma slični, samo je CoViper napisan u Delphiju, o čemu svedoče datum kompilacije 19. juna 1992. i nazivi sekcija, i CoronaVirus u C. Oba su predstavnici enkriptora.
Ransomware ili ransomware su programi koji, kada se jednom nađu na računaru žrtve, šifriraju korisničke datoteke, ometaju normalan proces pokretanja operativnog sistema i obavještavaju korisnika da mora platiti napadačima da ga dešifruju.
Nakon pokretanja programa, on traži korisničke datoteke na računaru i šifrira ih. Oni vrše pretrage koristeći standardne API funkcije, čije se primjere korištenja lako može pronaći na MSDN-u .
Slika 1 Pretraga korisničkih fajlova
Nakon nekog vremena, ponovo pokreću računar i prikazuju sličnu poruku o blokiranju računara.
Slika 2 Poruka o blokiranju
Da bi poremetio proces pokretanja operativnog sistema, ransomware koristi jednostavnu tehniku modifikacije zapisa o pokretanju (MBR) koristeći Windows API.
Sl.3 Modifikacija evidencije pokretanja
Ovu metodu eksfiltracije računara koriste mnogi drugi ransomware: SmartRansom, Maze, ONI Ransomware, Bioskits, MBRlock Ransomware, HDDCryptor Ransomware, RedBoot, UselessDisk. Implementacija prepisivanja MBR-a dostupna je široj javnosti uz pojavu izvornih kodova za programe kao što je MBR Locker na mreži. Ovo potvrđujem na GitHubu možete pronaći ogroman broj spremišta sa izvornim kodom ili gotovim projektima za Visual Studio.
Kompajliranje ovog koda sa GitHub-a , rezultat je program koji deaktivira računar korisnika za nekoliko sekundi. A potrebno je oko pet ili deset minuta da se sastavi.
Ispostavilo se da za sastavljanje zlonamjernog zlonamjernog softvera ne morate imati velike vještine ili resurse; to može učiniti bilo ko, bilo gdje. Kod je slobodno dostupan na Internetu i lako se može reproducirati u sličnim programima. Ovo me navodi na razmišljanje. Ovo je ozbiljan problem koji zahtijeva intervenciju i poduzimanje određenih mjera.
izvor: www.habr.com