En el context de la pandèmia de coronavirus, hi ha la sensació que paral·lelament ha esclatat una epidèmia digital igual de gran.
Tots dos fitxers executables estan en format Portable Executable, la qual cosa suggereix que estan dirigits a Windows. També estan compilats per a x86. Cal destacar que són molt semblants entre si, només CoViper està escrit en Delphi, com ho demostra la data de compilació del 19 de juny de 1992 i els noms de les seccions, i CoronaVirus en C. Tots dos són representants d'encriptadors.
El ransomware o ransomware són programes que, un cop a l'ordinador de la víctima, xifren els fitxers d'usuari, interrompen el procés d'arrencada normal del sistema operatiu i informen l'usuari que ha de pagar als atacants per desxifrar-lo.
Després d'iniciar el programa, cerca els fitxers d'usuari a l'ordinador i els xifra. Realitzen cerques mitjançant funcions estàndard de l'API, exemples d'ús de les quals es poden trobar fàcilment a MSDN
Fig.1 Cerca de fitxers d'usuari
Després d'una estona, reinicien l'ordinador i mostren un missatge similar sobre l'ordinador bloquejat.
Fig.2 Missatge de bloqueig
Per interrompre el procés d'arrencada del sistema operatiu, el ransomware utilitza una tècnica senzilla de modificar el registre d'arrencada (MBR)
Fig.3 Modificació del registre d'arrencada
Aquest mètode d'exfiltració d'un ordinador és utilitzat per molts altres ransomware: SmartRansom, Maze, ONI Ransomware, Bioskits, MBRlock Ransomware, HDDCryptor Ransomware, RedBoot, UselessDisk. La implementació de la reescriptura MBR està disponible per al públic en general amb l'aparició de codis font per a programes com MBR Locker en línia. Confirmant això a GitHub
Compilant aquest codi des de GitHub
Resulta que per muntar programari maliciós no cal tenir grans habilitats o recursos; qualsevol persona, en qualsevol lloc, pot fer-ho. El codi està disponible gratuïtament a Internet i es pot reproduir fàcilment en programes similars. Això em fa pensar. Aquest és un problema greu que requereix intervenció i prendre determinades mesures.
Font: www.habr.com