Yn erbyn cefndir y pandemig coronafirws, mae teimlad bod epidemig digidol yr un mor fawr wedi torri allan ochr yn ochr ag ef. . Mae cyfradd y twf yn nifer y safleoedd gwe-rwydo, sbam, adnoddau twyllodrus, meddalwedd faleisus a gweithgarwch maleisus tebyg yn codi pryderon difrifol. Mae maint yr anghyfraith parhaus yn cael ei nodi gan y newyddion bod “cribddeilwyr yn addo peidio ag ymosod ar sefydliadau meddygol” . Ydy, mae hynny'n iawn: mae'r rhai sy'n amddiffyn bywydau ac iechyd pobl yn ystod y pandemig hefyd yn destun ymosodiadau maleisus, fel yn y Weriniaeth Tsiec, lle darfu i ransomware CoViper waith sawl ysbyty .
Mae yna awydd i ddeall beth yw ransomware sy'n ecsbloetio'r thema coronafirws a pham eu bod yn ymddangos mor gyflym. Darganfuwyd samplau meddalwedd maleisus ar y rhwydwaith - CoViper a CoronaVirus, a ymosododd ar lawer o gyfrifiaduron, gan gynnwys mewn ysbytai cyhoeddus a chanolfannau meddygol.
Mae'r ddwy ffeil gweithredadwy hyn mewn fformat Gweithredadwy Cludadwy, sy'n awgrymu eu bod wedi'u hanelu at Windows. Maent hefyd yn cael eu llunio ar gyfer x86. Mae'n werth nodi eu bod yn debyg iawn i'w gilydd, dim ond CoViper sydd wedi'i ysgrifennu yn Delphi, fel y dangosir gan y dyddiad llunio Mehefin 19, 1992 ac enwau adrannau, a CoronaVirus yn C. Mae'r ddau yn gynrychiolwyr amgryptio.
Mae ransomware neu ransomware yn rhaglenni sydd, unwaith ar gyfrifiadur dioddefwr, yn amgryptio ffeiliau defnyddwyr, yn amharu ar broses cychwyn arferol y system weithredu, ac yn hysbysu'r defnyddiwr bod angen iddo dalu'r ymosodwyr i'w ddadgryptio.
Ar ôl lansio'r rhaglen, mae'n chwilio am ffeiliau defnyddwyr ar y cyfrifiadur ac yn eu hamgryptio. Maent yn gwneud chwiliadau gan ddefnyddio swyddogaethau API safonol, y gellir dod o hyd i enghreifftiau o ddefnydd ohonynt yn hawdd ar MSDN .
Ffig.1 Chwilio am ffeiliau defnyddwyr
Ar ôl ychydig, maent yn ailgychwyn y cyfrifiadur ac yn arddangos neges debyg am y cyfrifiadur yn cael ei rwystro.
Ffig.2 Neges blocio
Er mwyn tarfu ar broses cychwyn y system weithredu, mae ransomware yn defnyddio techneg syml o addasu'r cofnod cychwyn (MBR) gan ddefnyddio API Windows.
Ffig.3 Addasu cofnod cychwyn
Mae'r dull hwn o all-hidlo cyfrifiadur yn cael ei ddefnyddio gan lawer o ransomware eraill: SmartRansom, Maze, ONI Ransomware, Bioskits, MBRlock Ransomware, HDDCryptor Ransomware, RedBoot, UselessDisk. Mae gweithredu ailysgrifennu MBR ar gael i'r cyhoedd gydag ymddangosiad codau ffynhonnell ar gyfer rhaglenni fel MBR Locker ar-lein. Yn cadarnhau hyn ar GitHub gallwch ddod o hyd i nifer enfawr o ystorfeydd gyda chod ffynhonnell neu brosiectau parod ar gyfer Visual Studio.
Wrthi'n llunio'r cod hwn o GitHub , y canlyniad yw rhaglen sy'n analluogi cyfrifiadur y defnyddiwr mewn ychydig eiliadau. Ac mae'n cymryd tua phump neu ddeg munud i'w ymgynnull.
Mae'n ymddangos nad oes angen i chi feddu ar sgiliau neu adnoddau gwych er mwyn cydosod meddalwedd maleisus; gall unrhyw un, unrhyw le, ei wneud. Mae'r cod ar gael am ddim ar y Rhyngrwyd a gellir ei atgynhyrchu'n hawdd mewn rhaglenni tebyg. Mae hyn yn gwneud i mi feddwl. Mae hon yn broblem ddifrifol sy'n gofyn am ymyrraeth a chymryd mesurau penodol.
Ffynhonnell: hab.com