Στο πλαίσιο της πανδημίας του κορωνοϊού, υπάρχει η αίσθηση ότι παράλληλα με αυτήν έχει ξεσπάσει μια εξίσου μεγάλης κλίμακας ψηφιακή επιδημία.
Και τα δύο αυτά εκτελέσιμα αρχεία είναι σε μορφή Portable Executable, γεγονός που υποδηλώνει ότι απευθύνονται σε Windows. Έχουν επίσης μεταγλωττιστεί για x86. Αξιοσημείωτο είναι ότι μοιάζουν πολύ μεταξύ τους, μόνο το CoViper είναι γραμμένο στους Δελφούς, όπως αποδεικνύεται από την ημερομηνία σύνταξης της 19ης Ιουνίου 1992 και τα ονόματα των τμημάτων, και το CoronaVirus στο C. Και οι δύο είναι εκπρόσωποι κρυπτογράφων.
Το ransomware ή το ransomware είναι προγράμματα που, όταν βρίσκονται στον υπολογιστή του θύματος, κρυπτογραφούν τα αρχεία χρήστη, διακόπτουν την κανονική διαδικασία εκκίνησης του λειτουργικού συστήματος και ενημερώνουν τον χρήστη ότι πρέπει να πληρώσει τους εισβολείς για να το αποκρυπτογραφήσουν.
Μετά την εκκίνηση του προγράμματος, αναζητούν αρχεία χρήστη στον υπολογιστή και τα κρυπτογραφούν. Εκτελούν αναζητήσεις χρησιμοποιώντας τυπικές λειτουργίες API, παραδείγματα χρήσης των οποίων μπορούν να βρεθούν εύκολα στο MSDN
Εικ.1 Αναζήτηση αρχείων χρήστη
Μετά από λίγο, επανεκκινούν τον υπολογιστή και εμφανίζουν ένα παρόμοιο μήνυμα σχετικά με τον αποκλεισμό του υπολογιστή.
Εικ.2 Μήνυμα αποκλεισμού
Για να διαταράξει τη διαδικασία εκκίνησης του λειτουργικού συστήματος, το ransomware χρησιμοποιεί μια απλή τεχνική τροποποίησης της εγγραφής εκκίνησης (MBR)
Εικ.3 Τροποποίηση εγγραφής εκκίνησης
Αυτή η μέθοδος διείσδυσης ενός υπολογιστή χρησιμοποιείται από πολλά άλλα ransomware: SmartRansom, Maze, ONI Ransomware, Bioskits, MBRlock Ransomware, HDDCryptor Ransomware, RedBoot, UselessDisk. Η υλοποίηση της επανεγγραφής MBR είναι διαθέσιμη στο ευρύ κοινό με την εμφάνιση πηγαίου κώδικα για προγράμματα όπως το MBR Locker online. Επιβεβαίωση αυτού στο GitHub
Μεταγλώττιση αυτού του κώδικα από το GitHub
Αποδεικνύεται ότι για να συναρμολογήσετε κακόβουλο λογισμικό δεν χρειάζεται να έχετε εξαιρετικές δεξιότητες ή πόρους· οποιοσδήποτε, οπουδήποτε μπορεί να το κάνει. Ο κώδικας διατίθεται ελεύθερα στο Διαδίκτυο και μπορεί εύκολα να αναπαραχθεί σε παρόμοια προγράμματα. Αυτό με κάνει να σκεφτώ. Πρόκειται για ένα σοβαρό πρόβλημα που απαιτεί παρέμβαση και λήψη ορισμένων μέτρων.
Πηγή: www.habr.com