En la fono de la koronavirus-pandemio, estas sento, ke same grandskala cifereca epidemio ekis paralele kun ĝi.
Ambaŭ ĉi tiuj ruleblaj dosieroj estas en Portable Executable formato, kio sugestas, ke ili celas Vindozon. Ili ankaŭ estas kompilitaj por x86. Estas rimarkinde, ke ili estas tre similaj unu al la alia, nur CoViper estas skribita en Delphi, kiel pruvas la kompildato de la 19-a de junio 1992 kaj sekcionomoj, kaj CoronaVirus en C. Ambaŭ estas reprezentantoj de ĉifriloj.
Ransomware aŭ ransomware estas programoj kiuj, unufoje en la komputilo de viktimo, ĉifras uzantdosierojn, interrompas la normalan lanĉan procezon de la operaciumo kaj informas la uzanton, ke li devas pagi la atakantojn por deĉifri ĝin.
Post lanĉo de la programo, ĝi serĉas uzantdosierojn en la komputilo kaj ĉifras ilin. Ili faras serĉojn uzante normajn API-funkciojn, ekzemplojn de kiuj povas esti facile trovitaj sur MSDN
Fig.1 Serĉu uzantajn dosierojn
Post iom da tempo, ili rekomencas la komputilon kaj montras similan mesaĝon pri la komputilo blokita.
Fig.2 Blokanta mesaĝo
Por interrompi la lanĉan procezon de la operaciumo, ransomware uzas simplan teknikon por modifi la lanĉan registron (MBR)
Fig.3 Modifo de lanĉa registro
Ĉi tiu metodo de eksfiltrado de komputilo estas uzata de multaj aliaj ransomware: SmartRansom, Maze, ONI Ransomware, Bioskits, MBRlock Ransomware, HDDCryptor Ransomware, RedBoot, UselessDisk. La efektivigo de MBR-reskribo estas havebla al la ĝenerala publiko kun la apero de fontkodoj por programoj kiel ekzemple MBR Locker rete. Konfirmante ĉi tion sur GitHub
Kompilante ĉi tiun kodon el GitHub
Rezultas, ke por kunmeti malican malware, vi ne bezonas havi grandajn kapablojn aŭ rimedojn; iu ajn, ie ajn povas fari ĝin. La kodo estas libere havebla en la Interreto kaj facile reprodukteblas en similaj programoj. Ĉi tio pensigas min. Ĉi tio estas grava problemo, kiu postulas intervenon kaj preni iujn mezurojn.
fonto: www.habr.com