På baggrund af coronavirus-pandemien er der en følelse af, at en lige så stor digital epidemi er brudt ud sideløbende med den.
Begge disse eksekverbare filer er i Portable Executable-format, hvilket tyder på, at de er rettet mod Windows. De er også kompileret til x86. Det er bemærkelsesværdigt, at de minder meget om hinanden, kun CoViper er skrevet i Delphi, som det fremgår af kompileringsdatoen 19. juni 1992 og sektionsnavne, og CoronaVirus i C. Begge er repræsentanter for krypteringer.
Ransomware eller ransomware er programmer, der, når de først er på et offers computer, krypterer brugerfiler, forstyrrer den normale opstartsproces af operativsystemet og informerer brugeren om, at han skal betale angriberne for at dekryptere det.
Efter at have startet programmet, søger det efter brugerfiler på computeren og krypterer dem. De udfører søgninger ved hjælp af standard API-funktioner, hvoraf eksempler på brug nemt kan findes på MSDN
Fig.1 Søg efter brugerfiler
Efter et stykke tid genstarter de computeren og viser en lignende besked om, at computeren er blokeret.
Fig.2 Blokering besked
For at forstyrre opstartsprocessen af operativsystemet bruger ransomware en simpel teknik til at ændre boot record (MBR)
Fig.3 Ændring af boot record
Denne metode til at eksfiltrere en computer bruges af mange andre ransomware: SmartRansom, Maze, ONI Ransomware, Bioskits, MBRlock Ransomware, HDDCryptor Ransomware, RedBoot, UselessDisk. Implementeringen af MBR-omskrivning er tilgængelig for den brede offentlighed med udseendet af kildekoder til programmer såsom MBR Locker online. Bekræfter dette på GitHub
Kompilere denne kode fra GitHub
Det viser sig, at for at samle ondsindet malware behøver du ikke at have store færdigheder eller ressourcer; alle, hvor som helst, kan gøre det. Koden er frit tilgængelig på internettet og kan nemt gengives i lignende programmer. Dette får mig til at tænke. Dette er et alvorligt problem, der kræver indgriben og visse foranstaltninger.
Kilde: www.habr.com