En el contexto de la pandemia de coronavirus, existe la sensación de que paralelamente se ha desatado una epidemia digital de igual magnitud. . La tasa de crecimiento del número de sitios de phishing, spam, recursos fraudulentos, malware y actividades maliciosas similares plantea serias preocupaciones. La magnitud de la actual anarquía la indica la noticia de que “los extorsionadores prometen no atacar las instituciones médicas” . Sí, es cierto: quienes protegen la vida y la salud de las personas durante la pandemia también están sujetos a ataques de malware, como fue el caso en la República Checa, donde el ransomware CoViper perturbó el trabajo de varios hospitales. .
Existe el deseo de comprender qué son los ransomware que explotan el tema del coronavirus y por qué aparecen tan rápidamente. En la red se encontraron muestras de malware: CoViper y CoronaVirus, que atacaron muchas computadoras, incluso en hospitales públicos y centros médicos.
Ambos archivos ejecutables están en formato Portable Executable, lo que sugiere que están dirigidos a Windows. También están compilados para x86. Cabe destacar que son muy similares entre sí, solo CoViper está escrito en Delphi, como lo demuestra la fecha de compilación del 19 de junio de 1992 y los nombres de las secciones, y CoronaVirus en C. Ambos son representantes de cifradores.
El ransomware o ransomware son programas que, una vez en la computadora de la víctima, cifran los archivos del usuario, interrumpen el proceso de inicio normal del sistema operativo e informan al usuario que debe pagar a los atacantes para que los descifren.
Después de iniciar el programa, busca archivos de usuario en la computadora y los cifra. Realizan búsquedas utilizando funciones API estándar, cuyos ejemplos de uso se pueden encontrar fácilmente en MSDN. .
Fig.1 Búsqueda de archivos de usuario
Después de un tiempo, reinician la computadora y muestran un mensaje similar acerca de que la computadora está bloqueada.
Fig.2 Mensaje de bloqueo
Para interrumpir el proceso de arranque del sistema operativo, el ransomware utiliza una técnica sencilla de modificar el registro de arranque (MBR). utilizando la API de Windows.
Fig.3 Modificación del registro de arranque
Este método de exfiltración de una computadora es utilizado por muchos otros ransomware: SmartRansom, Maze, ONI Ransomware, Bioskits, MBRlock Ransomware, HDDCryptor Ransomware, RedBoot, UselessDisk. La implementación de la reescritura de MBR está disponible para el público en general con la aparición de códigos fuente para programas como MBR Locker en línea. Confirmando esto en GitHub puede encontrar una gran cantidad de repositorios con código fuente o proyectos listos para Visual Studio.
Compilando este código desde GitHub , el resultado es un programa que desactiva el ordenador del usuario en unos segundos. Y se necesitan unos cinco o diez minutos para montarlo.
Resulta que para ensamblar malware malicioso no es necesario tener grandes habilidades ni recursos; cualquiera, en cualquier lugar, puede hacerlo. El código está disponible gratuitamente en Internet y puede reproducirse fácilmente en programas similares. Esto me hace pensar. Este es un problema grave que requiere intervención y tomar ciertas medidas.
Fuente: habr.com