Koroonaviiruse pandeemia taustal on tunne, et sellega paralleelselt on puhkenud sama ulatuslik digitaalne epideemia.
Mõlemad käivitatavad failid on vormingus Portable Executable, mis viitab sellele, et need on suunatud Windowsile. Need on koostatud ka x86 jaoks. Tähelepanuväärne on see, et need on üksteisega väga sarnased, Delfis on kirjutatud ainult CoViper, millest annab tunnistust koostamise kuupäev 19. juuni 1992 ja sektsioonide nimed ning CoronaVirus C-s. Mõlemad on krüpteerijate esindajad.
Lunavara ehk lunavara on programmid, mis pärast ohvri arvutisse sattumist krüpteerivad kasutaja failid, häirivad operatsioonisüsteemi tavalist alglaadimisprotsessi ja teavitavad kasutajat, et ta peab ründajatele selle dekrüpteerimiseks maksma.
Pärast programmi käivitamist otsib see arvutist kasutajafaile ja krüpteerib need. Nad teostavad otsinguid standardsete API funktsioonide abil, mille kasutamise näiteid saab hõlpsasti leida MSDN-ist
Joon.1 Otsige kasutajafaile
Mõne aja pärast taaskäivitavad nad arvuti ja kuvavad sarnase teate arvuti blokeerimise kohta.
Joonis 2 Blokeerimissõnum
Operatsioonisüsteemi alglaadimisprotsessi häirimiseks kasutab lunavara lihtsat alglaadimiskirje (MBR) muutmise tehnikat.
Joon.3 Alglaadimiskirje muutmine
Seda arvutist väljafiltreerimise meetodit kasutavad paljud teised lunavarad: SmartRansom, Maze, ONI Ransomware, Bioskits, MBRlock Ransomware, HDDCryptor Ransomware, RedBoot, UselessDisk. MBR-i ümberkirjutamise rakendamine on laiemale avalikkusele kättesaadav koos selliste programmide lähtekoodide ilmumisega nagu MBR Locker võrgus. Selle kinnitamine GitHubis
Selle koodi koostamine GitHubist
Selgub, et pahatahtliku pahavara kokkupanemiseks ei pea olema suuri oskusi ega ressursse, seda saab teha igaüks, kus iganes. Kood on Internetis vabalt saadaval ja seda saab hõlpsasti sarnastes programmides reprodutseerida. See paneb mind mõtlema. See on tõsine probleem, mis nõuab sekkumist ja teatud meetmete võtmist.
Allikas: www.habr.com