In u sfondate di a pandemia di coronavirus, ci hè una sensazione chì una epidemia digitale ugualmente grande hè scoppiata in parallelu cun ella.
I dui fugliali eseguibili sò in formatu Portable Executable, chì suggerisce chì sò destinati à Windows. Sò ancu compilati per x86. Hè nutate chì sò assai simili à l'altri, solu CoViper hè scrittu in Delphi, cum'è pruvucatu da a data di compilazione di u 19 di ghjugnu 1992 è i nomi di a seccione, è CoronaVirus in C. Tramindui sò rapprisentanti di encryptors.
Ransomware o ransomware sò prugrammi chì, una volta nantu à l'urdinatore di a vittima, criptanu i fugliali di l'utilizatori, disturbanu u prucessu di boot normale di u sistema operatore, è informanu à l'utilizatori chì deve pagà l'attaccanti per decrypt lu.
Dopu avè lanciatu u prugramma, cerca i fugliali d'utilizatori nantu à l'urdinatore è li cripta. Eseguinu ricerche cù e funzioni standard API, esempi di l'usu di quale ponu esse facilmente truvati in MSDN
Fig.1 Ricerca di i schedari utilizatori
Dopu qualchì tempu, ripigliate l'urdinatore è mostranu un missaghju simili nantu à l'urdinatore chì hè bluccatu.
Fig.2 Missaghju bluccatu
Per disturbà u prucessu di boot di u sistema operatore, ransomware usa una tecnica simplice di mudificà u record di boot (MBR)
Fig.3 Mudificazione di u record di boot
Stu metudu di exfiltrating un computer hè utilizatu da parechji altri ransomware: SmartRansom, Maze, ONI Ransomware, Bioskits, MBRlock Ransomware, HDDCryptor Ransomware, RedBoot, UselessDisk. L'implementazione di a riscrittura MBR hè dispunibule per u publicu generale cù l'apparizione di codici fonte per prugrammi cum'è MBR Locker in linea. Cunfirmendu questu nantu à GitHub
Cumpilà stu codice da GitHub
Risulta chì per assembleà malware maliziusi ùn avete micca bisognu di grandi cumpetenze o risorse; qualcunu, in ogni locu pò fà. U codice hè dispunibule liberamente in Internet è pò esse facilmente riproduciutu in prugrammi simili. Questu mi fa pensà. Questu hè un prublema seriu chì deve intervene è piglià certe misure.
Source: www.habr.com