Na pozadí pandemie koronaviru panuje pocit, že souběžně s ní vypukla stejně rozsáhlá digitální epidemie.
Oba tyto spustitelné soubory jsou ve formátu Portable Executable, což naznačuje, že jsou zaměřeny na Windows. Jsou také zkompilovány pro x86. Je pozoruhodné, že jsou si navzájem velmi podobné, pouze CoViper je napsán v Delphi, o čemž svědčí datum kompilace 19. června 1992 a názvy sekcí, a CoronaVirus v C. Oba jsou zástupci šifrovačů.
Ransomware nebo ransomware jsou programy, které jakmile se dostanou do počítače oběti, zašifrují uživatelské soubory, naruší normální proces spouštění operačního systému a informují uživatele, že musí útočníkům zaplatit za jeho dešifrování.
Po spuštění program vyhledá uživatelské soubory v počítači a zašifruje je. Provádějí vyhledávání pomocí standardních funkcí API, jejichž příklady použití lze snadno najít na MSDN
Obr.1 Vyhledávání uživatelských souborů
Po chvíli restartují počítač a zobrazí podobnou zprávu o zablokování počítače.
Obr.2 Zpráva o blokování
K narušení procesu spouštění operačního systému používá ransomware jednoduchou techniku úpravy spouštěcího záznamu (MBR)
Obr.3 Úprava zaváděcího záznamu
Tento způsob exfiltrace počítače používá mnoho dalších ransomwarů: SmartRansom, Maze, ONI Ransomware, Bioskits, MBRlock Ransomware, HDDCryptor Ransomware, RedBoot, UselessDisk. Implementace přepisování MBR je dostupná široké veřejnosti s výskytem zdrojových kódů pro programy, jako je MBR Locker online. Potvrzuji to na GitHubu
Kompilace tohoto kódu z GitHubu
Ukazuje se, že k sestavení škodlivého malwaru nepotřebujete mít velké dovednosti ani zdroje, to může udělat kdokoli a kdekoli. Kód je volně dostupný na internetu a lze jej snadno reprodukovat v podobných programech. To mě nutí přemýšlet. Jde o vážný problém, který vyžaduje zásah a přijetí určitých opatření.
Zdroj: www.habr.com