Batok sa backdrop sa pandemya sa coronavirus, adunay usa ka pagbati nga ang usa ka parehas nga kadako nga digital nga epidemya nabuak nga managsama niini. . Ang rate sa pag-uswag sa gidaghanon sa mga site sa phishing, spam, malimbongon nga mga kapanguhaan, malware ug parehas nga makadaot nga kalihokan nagpatunghag seryoso nga mga kabalaka. Ang gidak-on sa nagpadayon nga kalapasan gipakita sa balita nga "ang mga mangilkil misaad nga dili atakehon ang mga institusyong medikal" . Oo, husto kana: kadtong nanalipod sa kinabuhi ug kahimsog sa mga tawo sa panahon sa pandemya gipailalom usab sa mga pag-atake sa malware, sama sa nahitabo sa Czech Republic, diin ang CoViper ransomware nakabalda sa trabaho sa daghang mga ospital .
Adunay tinguha nga masabtan kung unsa ang ransomware nga nagpahimulos sa mga tema sa coronavirus ug ngano nga kini dali nga makita. Ang mga sample sa malware nakit-an sa network - CoViper ug CoronaVirus, nga nag-atake sa daghang mga kompyuter, lakip ang mga pampublikong ospital ug mga sentro sa medisina.
Ang duha niini nga mga executable nga mga file anaa sa Portable Executable format, nga nagsugyot nga kini gitumong sa Windows. Gi-compile usab sila alang sa x86. Mamatikdan nga sila parehas kaayo sa usag usa, ang CoViper ra ang gisulat sa Delphi, ingon nga ebidensya sa petsa sa pagtipon sa Hunyo 19, 1992 ug mga ngalan sa seksyon, ug CoronaVirus sa C. Ang duha mga representante sa mga encryptors.
Ang Ransomware o ransomware mao ang mga programa nga, sa higayon nga naa sa computer sa usa ka biktima, nag-encrypt sa mga file sa gumagamit, makabalda sa normal nga proseso sa pag-boot sa operating system, ug nagpahibalo sa tiggamit nga kinahanglan niyang bayran ang mga tig-atake aron ma-decrypt kini.
Pagkahuman sa paglansad sa programa, gipangita nila ang mga file sa gumagamit sa kompyuter ug gi-encrypt kini. Naghimo sila og mga pagpangita gamit ang standard nga mga function sa API, ang mga pananglitan sa paggamit niini daling makit-an sa MSDN .
Fig.1 Pagpangita alang sa mga file sa gumagamit
Pagkataudtaod, ilang gi-restart ang computer ug gipakita ang parehas nga mensahe bahin sa computer nga gibabagan.
Fig.2 Pag-block sa mensahe
Aron mabalda ang proseso sa boot sa operating system, ang ransomware naggamit sa usa ka yano nga teknik sa pag-usab sa boot record (MBR) gamit ang Windows API.
Fig.3 Pagbag-o sa boot record
Kini nga pamaagi sa pag-exfiltrate sa usa ka computer gigamit sa daghang uban pang ransomware: SmartRansom, Maze, ONI Ransomware, Bioskits, MBRlock Ransomware, HDDCryptor Ransomware, RedBoot, UselessDisk. Ang pagpatuman sa MBR rewriting anaa sa kinatibuk-ang publiko nga adunay dagway sa source codes para sa mga programa sama sa MBR Locker online. Pagkumpirma niini sa GitHub makit-an nimo ang daghang mga repository nga adunay source code o andam nga mga proyekto alang sa Visual Studio.
Pag-compile niini nga code gikan sa GitHub , ang resulta mao ang usa ka programa nga nag-disable sa kompyuter sa user sulod sa pipila ka segundo. Ug mokabat ug lima o napulo ka minuto aron matigom kini.
Kini nahimo nga aron mapundok ang makadaot nga malware dili nimo kinahanglan nga adunay daghang mga kahanas o kahinguhaan; bisan kinsa, bisan asa makahimo niini. Ang code libre nga magamit sa Internet ug dali nga makopya sa parehas nga mga programa. Kini nakapahunahuna kanako. Kini usa ka seryoso nga problema nga nanginahanglan interbensyon ug paghimog piho nga mga lakang.
Source: www.habr.com