Koronabirus pandemiaren atzealdean, harekin paraleloan eskala handiko epidemia digitala piztu den sentsazioa dago.
Bi fitxategi exekutagarri hauek Portable Executable formatuan daude, eta horrek iradokitzen du Windows-era zuzenduta daudela. X86rako ere konpilatuta daude. Azpimarratzekoa da elkarren oso antzekoak direla, CoViper bakarrik idatzita dago Delphi-n, 19ko ekainaren 1992ko konpilazio-data eta atalen izenak frogatzen dutenez, eta CoronaVirus C-n. Biak enkriptatzaileen ordezkariak dira.
Ransomwarea edo ransomwarea biktima baten ordenagailuan behin erabiltzailearen fitxategiak enkriptatzen dituzten programak dira, sistema eragilearen abiarazte-prozesu normala oztopatzen duten eta erabiltzaileari erasotzaileei deszifratzeko ordaindu behar diela jakinarazten diete.
Programa abiarazi ondoren, ordenagailuan erabiltzaile-fitxategiak bilatzen ditu eta enkriptatzen ditu. Bilaketak egiten dituzte API funtzio estandarrak erabiliz, eta horien erabilera-adibideak MSDNn erraz aurki daitezke
1. irudia Bilatu erabiltzaile-fitxategiak
Pixka bat igaro ondoren, ordenagailua berrabiarazi eta blokeatutako ordenagailuari buruzko antzeko mezua bistaratzen dute.
2. irudia Blokeatzeko mezua
Sistema eragilearen abio-prozesua eteteko, ransomware-ak abio-erregistroa (MBR) aldatzeko teknika sinple bat erabiltzen du.
3. irudia Abio-erregistroaren aldaketa
Ordenagailu bat infiltratzeko metodo hau beste ransomware askok erabiltzen dute: SmartRansom, Maze, ONI Ransomware, Bioskits, MBRlock Ransomware, HDDCryptor Ransomware, RedBoot, UselessDisk. MBR berridazketa ezartzea publiko orokorrarentzat eskuragarri dago MBR Locker online bezalako programen iturburu-kodeak agertzean. Hau GitHub-en baieztatzen
Kode hau GitHub-etik konpilatzen
Bihurtzen da malware gaiztoa muntatzeko ez duzula trebetasun edo baliabide handirik izan behar; edonork, edonon egin dezake. Kodea dohainik eskuragarri dago Interneten eta erraz erreproduzi daiteke antzeko programetan. Horrek pentsarazten dit. Arazo larria da hau, esku hartzea eta neurri batzuk hartzea eskatzen duena.
Iturria: www.habr.com