Na pozadí pandemie koronaviru panuje pocit, že souběžně s ní vypukla stejně rozsáhlá digitální epidemie. . Míra růstu počtu phishingových stránek, spamu, podvodných zdrojů, malwaru a podobných škodlivých aktivit vyvolává vážné obavy. Rozsah pokračující nezákonnosti naznačuje zpráva, že „vyděrači slibují, že nebudou útočit na lékařské ústavy“ . Ano, je to tak: ti, kteří během pandemie chrání životy a zdraví lidí, jsou také vystaveni malwarovým útokům, jako tomu bylo v České republice, kde ransomware CoViper narušil práci několika nemocnic .
Existuje touha porozumět tomu, co je ransomware využívající téma koronaviru a proč se objevují tak rychle. V síti byly nalezeny vzorky malwaru – CoViper a CoronaVirus, které napadly mnoho počítačů, včetně veřejných nemocnic a lékařských středisek.
Oba tyto spustitelné soubory jsou ve formátu Portable Executable, což naznačuje, že jsou zaměřeny na Windows. Jsou také zkompilovány pro x86. Je pozoruhodné, že jsou si navzájem velmi podobné, pouze CoViper je napsán v Delphi, o čemž svědčí datum kompilace 19. června 1992 a názvy sekcí, a CoronaVirus v C. Oba jsou zástupci šifrovačů.
Ransomware nebo ransomware jsou programy, které jakmile se dostanou do počítače oběti, zašifrují uživatelské soubory, naruší normální proces spouštění operačního systému a informují uživatele, že musí útočníkům zaplatit za jeho dešifrování.
Po spuštění program vyhledá uživatelské soubory v počítači a zašifruje je. Provádějí vyhledávání pomocí standardních funkcí API, jejichž příklady použití lze snadno najít na MSDN .
Obr.1 Vyhledávání uživatelských souborů
Po chvíli restartují počítač a zobrazí podobnou zprávu o zablokování počítače.
Obr.2 Zpráva o blokování
K narušení procesu spouštění operačního systému používá ransomware jednoduchou techniku úpravy spouštěcího záznamu (MBR) pomocí Windows API.
Obr.3 Úprava zaváděcího záznamu
Tento způsob exfiltrace počítače používá mnoho dalších ransomwarů: SmartRansom, Maze, ONI Ransomware, Bioskits, MBRlock Ransomware, HDDCryptor Ransomware, RedBoot, UselessDisk. Implementace přepisování MBR je dostupná široké veřejnosti s výskytem zdrojových kódů pro programy, jako je MBR Locker online. Potvrzuji to na GitHubu můžete najít obrovské množství repozitářů se zdrojovým kódem nebo hotovými projekty pro Visual Studio.
Kompilace tohoto kódu z GitHubu , výsledkem je program, který během několika sekund deaktivuje počítač uživatele. A jeho sestavení trvá asi pět nebo deset minut.
Ukazuje se, že k sestavení škodlivého malwaru nepotřebujete mít velké dovednosti ani zdroje, to může udělat kdokoli a kdekoli. Kód je volně dostupný na internetu a lze jej snadno reprodukovat v podobných programech. To mě nutí přemýšlet. Jde o vážný problém, který vyžaduje zásah a přijetí určitých opatření.
Zdroj: www.habr.com