En la fono de la koronavirus-pandemio, estas sento, ke same grandskala cifereca epidemio ekis paralele kun ĝi. . La rapideco de kresko en la nombro da phishing-ejoj, spamo, fraŭdaj rimedoj, malware kaj simila malica agado vekas seriozajn zorgojn. La amplekso de la daŭranta senleĝeco estas indikita per la novaĵo, ke "ĉantaĝuloj promesas ne ataki medicinajn instituciojn" . Jes, ĝuste: tiuj, kiuj protektas la vivon kaj sanon de homoj dum la pandemio, estas ankaŭ submetataj al malware atakoj, kiel okazis en Ĉeĥio, kie la ransomware CoViper interrompis la laboron de pluraj hospitaloj. .
Estas deziro kompreni, kio estas ransomware ekspluatanta la koronavirusan temon kaj kial ili aperas tiel rapide. Malware-provaĵoj estis trovitaj en la reto - CoViper kaj CoronaVirus, kiuj atakis multajn komputilojn, inkluzive en publikaj hospitaloj kaj medicinaj centroj.
Ambaŭ ĉi tiuj ruleblaj dosieroj estas en Portable Executable formato, kio sugestas, ke ili celas Vindozon. Ili ankaŭ estas kompilitaj por x86. Estas rimarkinde, ke ili estas tre similaj unu al la alia, nur CoViper estas skribita en Delphi, kiel pruvas la kompildato de la 19-a de junio 1992 kaj sekcionomoj, kaj CoronaVirus en C. Ambaŭ estas reprezentantoj de ĉifriloj.
Ransomware aŭ ransomware estas programoj kiuj, unufoje en la komputilo de viktimo, ĉifras uzantdosierojn, interrompas la normalan lanĉan procezon de la operaciumo kaj informas la uzanton, ke li devas pagi la atakantojn por deĉifri ĝin.
Post lanĉo de la programo, ĝi serĉas uzantdosierojn en la komputilo kaj ĉifras ilin. Ili faras serĉojn uzante normajn API-funkciojn, ekzemplojn de kiuj povas esti facile trovitaj sur MSDN .
Fig.1 Serĉu uzantajn dosierojn
Post iom da tempo, ili rekomencas la komputilon kaj montras similan mesaĝon pri la komputilo blokita.
Fig.2 Blokanta mesaĝo
Por interrompi la lanĉan procezon de la operaciumo, ransomware uzas simplan teknikon por modifi la lanĉan registron (MBR) uzante la Vindozan API.
Fig.3 Modifo de lanĉa registro
Ĉi tiu metodo de eksfiltrado de komputilo estas uzata de multaj aliaj ransomware: SmartRansom, Maze, ONI Ransomware, Bioskits, MBRlock Ransomware, HDDCryptor Ransomware, RedBoot, UselessDisk. La efektivigo de MBR-reskribo estas havebla al la ĝenerala publiko kun la apero de fontkodoj por programoj kiel ekzemple MBR Locker rete. Konfirmante ĉi tion sur GitHub vi povas trovi grandegan nombron da deponejoj kun fontkodo aŭ pretaj projektoj por Visual Studio.
Kompilante ĉi tiun kodon el GitHub , la rezulto estas programo, kiu malŝaltas la komputilon de la uzanto en kelkaj sekundoj. Kaj necesas ĉirkaŭ kvin aŭ dek minutoj por kunmeti ĝin.
Rezultas, ke por kunmeti malican malware, vi ne bezonas havi grandajn kapablojn aŭ rimedojn; iu ajn, ie ajn povas fari ĝin. La kodo estas libere havebla en la Interreto kaj facile reprodukteblas en similaj programoj. Ĉi tio pensigas min. Ĉi tio estas grava problemo, kiu postulas intervenon kaj preni iujn mezurojn.
fonto: www.habr.com