Koroonaviiruse pandeemia taustal on tunne, et sellega paralleelselt on puhkenud sama ulatuslik digitaalne epideemia. . Andmepüügisaitide, rämpsposti, petturlike ressursside, pahavara ja sarnase pahatahtliku tegevuse arvu kasvutempo tekitab tõsist muret. Jätkuva seadusetuse ulatusele viitab uudis, et "väljapressijad lubavad mitte rünnata raviasutusi" . Jah, see on õige: need, kes pandeemia ajal inimeste elu ja tervist kaitsevad, langevad ka pahavararünnakute alla, nagu juhtus Tšehhi Vabariigis, kus CoViperi lunavara segas mitme haigla tööd. .
Tahetakse mõista, mis on koroonaviiruse teemat ekspluateeriv lunavara ja miks see nii kiiresti ilmub. Võrgust leiti pahavara näidiseid – CoViper ja CoronaVirus, mis ründasid paljusid arvuteid, sealhulgas avalikes haiglates ja meditsiinikeskustes.
Mõlemad käivitatavad failid on vormingus Portable Executable, mis viitab sellele, et need on suunatud Windowsile. Need on koostatud ka x86 jaoks. Tähelepanuväärne on see, et need on üksteisega väga sarnased, Delfis on kirjutatud ainult CoViper, millest annab tunnistust koostamise kuupäev 19. juuni 1992 ja sektsioonide nimed ning CoronaVirus C-s. Mõlemad on krüpteerijate esindajad.
Lunavara ehk lunavara on programmid, mis pärast ohvri arvutisse sattumist krüpteerivad kasutaja failid, häirivad operatsioonisüsteemi tavalist alglaadimisprotsessi ja teavitavad kasutajat, et ta peab ründajatele selle dekrüpteerimiseks maksma.
Pärast programmi käivitamist otsib see arvutist kasutajafaile ja krüpteerib need. Nad teostavad otsinguid standardsete API funktsioonide abil, mille kasutamise näiteid saab hõlpsasti leida MSDN-ist .
Joon.1 Otsige kasutajafaile
Mõne aja pärast taaskäivitavad nad arvuti ja kuvavad sarnase teate arvuti blokeerimise kohta.
Joonis 2 Blokeerimissõnum
Operatsioonisüsteemi alglaadimisprotsessi häirimiseks kasutab lunavara lihtsat alglaadimiskirje (MBR) muutmise tehnikat. Windows API abil.
Joon.3 Alglaadimiskirje muutmine
Seda arvutist väljafiltreerimise meetodit kasutavad paljud teised lunavarad: SmartRansom, Maze, ONI Ransomware, Bioskits, MBRlock Ransomware, HDDCryptor Ransomware, RedBoot, UselessDisk. MBR-i ümberkirjutamise rakendamine on laiemale avalikkusele kättesaadav koos selliste programmide lähtekoodide ilmumisega nagu MBR Locker võrgus. Selle kinnitamine GitHubis võite leida tohutul hulgal lähtekoodiga hoidlaid või Visual Studio jaoks valmisprojekte.
Selle koodi koostamine GitHubist , tulemuseks on programm, mis blokeerib kasutaja arvuti mõne sekundiga. Ja selle kokkupanekuks kulub umbes viis või kümme minutit.
Selgub, et pahatahtliku pahavara kokkupanemiseks ei pea olema suuri oskusi ega ressursse, seda saab teha igaüks, kus iganes. Kood on Internetis vabalt saadaval ja seda saab hõlpsasti sarnastes programmides reprodutseerida. See paneb mind mõtlema. See on tõsine probleem, mis nõuab sekkumist ja teatud meetmete võtmist.
Allikas: www.habr.com