In u sfondate di a pandemia di coronavirus, ci hè una sensazione chì una epidemia digitale ugualmente grande hè scoppiata in parallelu cun ella. . U ritmu di crescita in u numeru di siti di phishing, spam, risorse fraudulente, malware è attività maliciosa simili suscite una seria preoccupazione. A scala di l'anarchia in corso hè indicata da a nutizia chì "l'estorsionisti prumettenu micca di attaccà l'istituzioni mediche". . Iè, hè ghjustu: quelli chì prutegge a vita è a salute di e persone durante a pandemia sò ancu sottumessi à attacchi di malware, cum'è era u casu in a Repubblica Ceca, induve u ransomware CoViper hà disturbatu u travagliu di parechji ospedali. .
Ci hè un desideriu di capisce ciò chì ransomware chì sfrutta u tema coronavirus hè è perchè appariscenu cusì rapidamente. I campioni di malware sò stati truvati nantu à a reta - CoViper è CoronaVirus, chì anu attaccatu assai computer, cumpresu in ospedali publichi è centri medichi.
I dui fugliali eseguibili sò in formatu Portable Executable, chì suggerisce chì sò destinati à Windows. Sò ancu compilati per x86. Hè nutate chì sò assai simili à l'altri, solu CoViper hè scrittu in Delphi, cum'è pruvucatu da a data di compilazione di u 19 di ghjugnu 1992 è i nomi di a seccione, è CoronaVirus in C. Tramindui sò rapprisentanti di encryptors.
Ransomware o ransomware sò prugrammi chì, una volta nantu à l'urdinatore di a vittima, criptanu i fugliali di l'utilizatori, disturbanu u prucessu di boot normale di u sistema operatore, è informanu à l'utilizatori chì deve pagà l'attaccanti per decrypt lu.
Dopu avè lanciatu u prugramma, cerca i fugliali d'utilizatori nantu à l'urdinatore è li cripta. Eseguinu ricerche cù e funzioni standard API, esempi di l'usu di quale ponu esse facilmente truvati in MSDN .
Fig.1 Ricerca di i schedari utilizatori
Dopu qualchì tempu, ripigliate l'urdinatore è mostranu un missaghju simili nantu à l'urdinatore chì hè bluccatu.
Fig.2 Missaghju bluccatu
Per disturbà u prucessu di boot di u sistema operatore, ransomware usa una tecnica simplice di mudificà u record di boot (MBR) usendu l'API di Windows.
Fig.3 Mudificazione di u record di boot
Stu metudu di exfiltrating un computer hè utilizatu da parechji altri ransomware: SmartRansom, Maze, ONI Ransomware, Bioskits, MBRlock Ransomware, HDDCryptor Ransomware, RedBoot, UselessDisk. L'implementazione di a riscrittura MBR hè dispunibule per u publicu generale cù l'apparizione di codici fonte per prugrammi cum'è MBR Locker in linea. Cunfirmendu questu nantu à GitHub pudete truvà un gran numaru di repositori cù codice fonte o prughjetti pronti per Visual Studio.
Cumpilà stu codice da GitHub , u risultatu hè un prugramma chì disattiveghja l'urdinatore di l'utilizatori in pochi seconde. È ci vole circa cinque o deci minuti per assemblallu.
Risulta chì per assembleà malware maliziusi ùn avete micca bisognu di grandi cumpetenze o risorse; qualcunu, in ogni locu pò fà. U codice hè dispunibule liberamente in Internet è pò esse facilmente riproduciutu in prugrammi simili. Questu mi fa pensà. Questu hè un prublema seriu chì deve intervene è piglià certe misure.
Source: www.habr.com