Vor dem Hintergrund der Coronavirus-Pandemie besteht das Gefühl, dass parallel dazu eine ebenso große digitale Epidemie ausgebrochen ist. . Das rasante Wachstum der Zahl von Phishing-Seiten, Spam, betrügerischen Ressourcen, Malware und ähnlichen bösartigen Aktivitäten gibt Anlass zu ernster Sorge. Das Ausmaß der anhaltenden Gesetzlosigkeit wird durch die Nachricht deutlich, dass „Erpresser versprechen, keine medizinischen Einrichtungen anzugreifen“. . Ja, richtig: Wer während der Pandemie das Leben und die Gesundheit der Menschen schützt, ist auch Opfer von Malware-Angriffen, wie beispielsweise in der Tschechischen Republik, wo die Ransomware CoViper die Arbeit mehrerer Krankenhäuser lahmlegte .
Es besteht der Wunsch zu verstehen, was Ransomware ist, die das Coronavirus-Thema ausnutzt, und warum sie so schnell auftaucht. Im Netzwerk wurden Malware-Beispiele gefunden – CoViper und CoronaVirus, die viele Computer angriffen, darunter auch in öffentlichen Krankenhäusern und medizinischen Zentren.
Beide ausführbaren Dateien liegen im Portable Executable-Format vor, was darauf hindeutet, dass sie für Windows gedacht sind. Sie sind auch für x86 kompiliert. Bemerkenswert ist, dass sie einander sehr ähnlich sind, nur CoViper ist in Delphi geschrieben, wie das Kompilierungsdatum 19. Juni 1992 und die Abschnittsnamen belegen, und CoronaVirus in C. Beide sind Vertreter von Verschlüsselern.
Ransomware oder Ransomware sind Programme, die, sobald sie auf dem Computer eines Opfers sind, Benutzerdateien verschlüsseln, den normalen Startvorgang des Betriebssystems stören und den Benutzer darüber informieren, dass er die Angreifer für die Entschlüsselung bezahlen muss.
Nach dem Start des Programms sucht es nach Benutzerdateien auf dem Computer und verschlüsselt diese. Sie führen Suchen mithilfe von Standard-API-Funktionen durch, deren Verwendungsbeispiele leicht auf MSDN zu finden sind .
Abb.1 Suche nach Benutzerdateien
Nach einer Weile starten sie den Computer neu und zeigen eine ähnliche Meldung über die Blockierung des Computers an.
Abb.2 Blockierungsmeldung
Um den Startvorgang des Betriebssystems zu stören, nutzt Ransomware eine einfache Technik zur Änderung des Startdatensatzes (MBR). Verwendung der Windows-API.
Abb.3 Änderung des Boot-Records
Diese Methode zum Exfiltrieren eines Computers wird von vielen anderen Ransomware verwendet: SmartRansom, Maze, ONI Ransomware, Bioskits, MBRlock Ransomware, HDDCryptor Ransomware, RedBoot, UselessDisk. Die Implementierung des MBR-Rewritings ist mit der Veröffentlichung von Quellcodes für Programme wie MBR Locker online für die breite Öffentlichkeit zugänglich. Bestätige dies auf GitHub Sie finden eine große Anzahl von Repositorys mit Quellcode oder vorgefertigten Projekten für Visual Studio.
Kompilieren dieses Codes von GitHub Das Ergebnis ist ein Programm, das den Computer des Benutzers in wenigen Sekunden lahmlegt. Und der Zusammenbau dauert etwa fünf bis zehn Minuten.
Es stellt sich heraus, dass Sie zum Zusammenstellen bösartiger Malware keine großen Fähigkeiten oder Ressourcen benötigen; jeder und überall kann es tun. Der Code ist im Internet frei verfügbar und kann problemlos in ähnlichen Programmen reproduziert werden. Das bringt mich zum Nachdenken. Dies ist ein ernstes Problem, das ein Eingreifen und das Ergreifen bestimmter Maßnahmen erfordert.
Source: habr.com