På baggrund af coronavirus-pandemien er der en følelse af, at en lige så stor digital epidemi er brudt ud sideløbende med den. . Væksten i antallet af phishing-websteder, spam, svigagtige ressourcer, malware og lignende ondsindet aktivitet giver anledning til alvorlige bekymringer. Omfanget af den igangværende lovløshed indikeres af nyheden om, at "afpressere lover ikke at angribe medicinske institutioner" . Ja, det er rigtigt: De, der beskytter folks liv og helbred under pandemien, er også udsat for malware-angreb, som det var tilfældet i Tjekkiet, hvor CoViper ransomware forstyrrede arbejdet på flere hospitaler .
Der er et ønske om at forstå, hvad ransomware, der udnytter coronavirus-temaet, er, og hvorfor de dukker op så hurtigt. Malwareprøver blev fundet på netværket - CoViper og CoronaVirus, som angreb mange computere, herunder på offentlige hospitaler og medicinske centre.
Begge disse eksekverbare filer er i Portable Executable-format, hvilket tyder på, at de er rettet mod Windows. De er også kompileret til x86. Det er bemærkelsesværdigt, at de minder meget om hinanden, kun CoViper er skrevet i Delphi, som det fremgår af kompileringsdatoen 19. juni 1992 og sektionsnavne, og CoronaVirus i C. Begge er repræsentanter for krypteringer.
Ransomware eller ransomware er programmer, der, når de først er på et offers computer, krypterer brugerfiler, forstyrrer den normale opstartsproces af operativsystemet og informerer brugeren om, at han skal betale angriberne for at dekryptere det.
Efter at have startet programmet, søger det efter brugerfiler på computeren og krypterer dem. De udfører søgninger ved hjælp af standard API-funktioner, hvoraf eksempler på brug nemt kan findes på MSDN .
Fig.1 Søg efter brugerfiler
Efter et stykke tid genstarter de computeren og viser en lignende besked om, at computeren er blokeret.
Fig.2 Blokering besked
For at forstyrre opstartsprocessen af operativsystemet bruger ransomware en simpel teknik til at ændre boot record (MBR) ved hjælp af Windows API.
Fig.3 Ændring af boot record
Denne metode til at eksfiltrere en computer bruges af mange andre ransomware: SmartRansom, Maze, ONI Ransomware, Bioskits, MBRlock Ransomware, HDDCryptor Ransomware, RedBoot, UselessDisk. Implementeringen af MBR-omskrivning er tilgængelig for den brede offentlighed med udseendet af kildekoder til programmer såsom MBR Locker online. Bekræfter dette på GitHub du kan finde et stort antal repositories med kildekode eller færdige projekter til Visual Studio.
Kompilere denne kode fra GitHub , resultatet er et program, der deaktiverer brugerens computer på få sekunder. Og det tager omkring fem eller ti minutter at samle det.
Det viser sig, at for at samle ondsindet malware behøver du ikke at have store færdigheder eller ressourcer; alle, hvor som helst, kan gøre det. Koden er frit tilgængelig på internettet og kan nemt gengives i lignende programmer. Dette får mig til at tænke. Dette er et alvorligt problem, der kræver indgriben og visse foranstaltninger.
Kilde: www.habr.com