En el context de la pandèmia de coronavirus, hi ha la sensació que paral·lelament ha esclatat una epidèmia digital igual de gran. . El ritme de creixement del nombre de llocs de pesca, correu brossa, recursos fraudulents, programari maliciós i activitats malicioses similars genera serioses preocupacions. L'envergadura de la il·legalitat en curs està indicada per la notícia que "els extorsionadors prometen no atacar les institucions mèdiques" . Sí, és cert: els que protegeixen la vida i la salut de les persones durant la pandèmia també estan subjectes a atacs de programari maliciós, com va ser el cas de la República Txeca, on el ransomware CoViper va interrompre el treball de diversos hospitals. .
Hi ha un desig d'entendre què és el ransomware que explota el tema del coronavirus i per què apareixen tan ràpidament. Es van trobar mostres de programari maliciós a la xarxa: CoViper i CoronaVirus, que van atacar molts ordinadors, inclosos hospitals públics i centres mèdics.
Tots dos fitxers executables estan en format Portable Executable, la qual cosa suggereix que estan dirigits a Windows. També estan compilats per a x86. Cal destacar que són molt semblants entre si, només CoViper està escrit en Delphi, com ho demostra la data de compilació del 19 de juny de 1992 i els noms de les seccions, i CoronaVirus en C. Tots dos són representants d'encriptadors.
El ransomware o ransomware són programes que, un cop a l'ordinador de la víctima, xifren els fitxers d'usuari, interrompen el procés d'arrencada normal del sistema operatiu i informen l'usuari que ha de pagar als atacants per desxifrar-lo.
Després d'iniciar el programa, cerca els fitxers d'usuari a l'ordinador i els xifra. Realitzen cerques mitjançant funcions estàndard de l'API, exemples d'ús de les quals es poden trobar fàcilment a MSDN .
Fig.1 Cerca de fitxers d'usuari
Després d'una estona, reinicien l'ordinador i mostren un missatge similar sobre l'ordinador bloquejat.
Fig.2 Missatge de bloqueig
Per interrompre el procés d'arrencada del sistema operatiu, el ransomware utilitza una tècnica senzilla de modificar el registre d'arrencada (MBR) utilitzant l'API de Windows.
Fig.3 Modificació del registre d'arrencada
Aquest mètode d'exfiltració d'un ordinador és utilitzat per molts altres ransomware: SmartRansom, Maze, ONI Ransomware, Bioskits, MBRlock Ransomware, HDDCryptor Ransomware, RedBoot, UselessDisk. La implementació de la reescriptura MBR està disponible per al públic en general amb l'aparició de codis font per a programes com MBR Locker en línia. Confirmant això a GitHub podeu trobar un gran nombre de dipòsits amb codi font o projectes ja fets per a Visual Studio.
Compilant aquest codi des de GitHub , el resultat és un programa que desactiva l'ordinador de l'usuari en pocs segons. I es triga uns cinc o deu minuts a muntar-lo.
Resulta que per muntar programari maliciós no cal tenir grans habilitats o recursos; qualsevol persona, en qualsevol lloc, pot fer-ho. El codi està disponible gratuïtament a Internet i es pot reproduir fàcilment en programes similars. Això em fa pensar. Aquest és un problema greu que requereix intervenció i prendre determinades mesures.
Font: www.habr.com