Στο πλαίσιο της πανδημίας του κορωνοϊού, υπάρχει η αίσθηση ότι παράλληλα με αυτήν έχει ξεσπάσει μια εξίσου μεγάλης κλίμακας ψηφιακή επιδημία. . Ο ρυθμός αύξησης του αριθμού των ιστότοπων ηλεκτρονικού ψαρέματος, των ανεπιθύμητων μηνυμάτων, των δόλιων πόρων, του κακόβουλου λογισμικού και παρόμοιας κακόβουλης δραστηριότητας εγείρει σοβαρές ανησυχίες. Το μέγεθος της συνεχιζόμενης ανομίας υποδεικνύεται από την είδηση ότι «οι εκβιαστές υπόσχονται να μην επιτεθούν σε ιατρικά ιδρύματα» . Ναι, αυτό είναι σωστό: όσοι προστατεύουν τη ζωή και την υγεία των ανθρώπων κατά τη διάρκεια της πανδημίας υπόκεινται επίσης σε επιθέσεις κακόβουλου λογισμικού, όπως συνέβη στην Τσεχική Δημοκρατία, όπου το ransomware CoViper διέκοψε το έργο πολλών νοσοκομείων .
Υπάρχει η επιθυμία να κατανοήσουμε τι είναι το ransomware που εκμεταλλεύεται το θέμα του κορωνοϊού και γιατί εμφανίζονται τόσο γρήγορα. Δείγματα κακόβουλου λογισμικού βρέθηκαν στο δίκτυο - CoViper και CoronaVirus, τα οποία επιτέθηκαν σε πολλούς υπολογιστές, μεταξύ άλλων σε δημόσια νοσοκομεία και ιατρικά κέντρα.
Και τα δύο αυτά εκτελέσιμα αρχεία είναι σε μορφή Portable Executable, γεγονός που υποδηλώνει ότι απευθύνονται σε Windows. Έχουν επίσης μεταγλωττιστεί για x86. Αξιοσημείωτο είναι ότι μοιάζουν πολύ μεταξύ τους, μόνο το CoViper είναι γραμμένο στους Δελφούς, όπως αποδεικνύεται από την ημερομηνία σύνταξης της 19ης Ιουνίου 1992 και τα ονόματα των τμημάτων, και το CoronaVirus στο C. Και οι δύο είναι εκπρόσωποι κρυπτογράφων.
Το ransomware ή το ransomware είναι προγράμματα που, όταν βρίσκονται στον υπολογιστή του θύματος, κρυπτογραφούν τα αρχεία χρήστη, διακόπτουν την κανονική διαδικασία εκκίνησης του λειτουργικού συστήματος και ενημερώνουν τον χρήστη ότι πρέπει να πληρώσει τους εισβολείς για να το αποκρυπτογραφήσουν.
Μετά την εκκίνηση του προγράμματος, αναζητούν αρχεία χρήστη στον υπολογιστή και τα κρυπτογραφούν. Εκτελούν αναζητήσεις χρησιμοποιώντας τυπικές λειτουργίες API, παραδείγματα χρήσης των οποίων μπορούν να βρεθούν εύκολα στο MSDN .
Εικ.1 Αναζήτηση αρχείων χρήστη
Μετά από λίγο, επανεκκινούν τον υπολογιστή και εμφανίζουν ένα παρόμοιο μήνυμα σχετικά με τον αποκλεισμό του υπολογιστή.
Εικ.2 Μήνυμα αποκλεισμού
Για να διαταράξει τη διαδικασία εκκίνησης του λειτουργικού συστήματος, το ransomware χρησιμοποιεί μια απλή τεχνική τροποποίησης της εγγραφής εκκίνησης (MBR) χρησιμοποιώντας το API των Windows.
Εικ.3 Τροποποίηση εγγραφής εκκίνησης
Αυτή η μέθοδος διείσδυσης ενός υπολογιστή χρησιμοποιείται από πολλά άλλα ransomware: SmartRansom, Maze, ONI Ransomware, Bioskits, MBRlock Ransomware, HDDCryptor Ransomware, RedBoot, UselessDisk. Η υλοποίηση της επανεγγραφής MBR είναι διαθέσιμη στο ευρύ κοινό με την εμφάνιση πηγαίου κώδικα για προγράμματα όπως το MBR Locker online. Επιβεβαίωση αυτού στο GitHub μπορείτε να βρείτε έναν τεράστιο αριθμό αποθετηρίων με πηγαίο κώδικα ή έτοιμα έργα για το Visual Studio.
Μεταγλώττιση αυτού του κώδικα από το GitHub , το αποτέλεσμα είναι ένα πρόγραμμα που απενεργοποιεί τον υπολογιστή του χρήστη μέσα σε λίγα δευτερόλεπτα. Και χρειάζονται περίπου πέντε ή δέκα λεπτά για να το συναρμολογήσετε.
Αποδεικνύεται ότι για να συναρμολογήσετε κακόβουλο λογισμικό δεν χρειάζεται να έχετε εξαιρετικές δεξιότητες ή πόρους· οποιοσδήποτε, οπουδήποτε μπορεί να το κάνει. Ο κώδικας διατίθεται ελεύθερα στο Διαδίκτυο και μπορεί εύκολα να αναπαραχθεί σε παρόμοια προγράμματα. Αυτό με κάνει να σκεφτώ. Πρόκειται για ένα σοβαρό πρόβλημα που απαιτεί παρέμβαση και λήψη ορισμένων μέτρων.
Πηγή: www.habr.com