Koronabirus pandemiaren atzealdean, harekin paraleloan eskala handiko epidemia digitala piztu den sentsazioa dago. . Phishing guneen, spamaren, iruzurrezko baliabideen, malwarearen eta antzeko jarduera gaiztoen hazkunde-tasak kezka larriak sortzen ditu. Etengabeko lege-gabeziaren tamaina "estortsiogileek mediku-erakundeei eraso egingo ez dietela hitz ematen" duten albisteak adierazten du. . Bai, hala da: pandemian pertsonen bizitza eta osasuna babesten dutenek ere malware erasoak jasaten dituzte, Txekiar Errepublikan gertatu zen bezala, non CoViper ransomwareak hainbat ospitaleren lana eten zuen. .
Koronabirusaren gaia ustiatzen duen ransomwarea zer den eta zergatik agertzen diren hain azkar ulertzeko nahia dago. Malware laginak aurkitu ziren sarean: CoViper eta CoronaVirus, ordenagailu asko eraso zituzten, ospitale publikoetan eta mediku zentroetan barne.
Bi fitxategi exekutagarri hauek Portable Executable formatuan daude, eta horrek iradokitzen du Windows-era zuzenduta daudela. X86rako ere konpilatuta daude. Azpimarratzekoa da elkarren oso antzekoak direla, CoViper bakarrik idatzita dago Delphi-n, 19ko ekainaren 1992ko konpilazio-data eta atalen izenak frogatzen dutenez, eta CoronaVirus C-n. Biak enkriptatzaileen ordezkariak dira.
Ransomwarea edo ransomwarea biktima baten ordenagailuan behin erabiltzailearen fitxategiak enkriptatzen dituzten programak dira, sistema eragilearen abiarazte-prozesu normala oztopatzen duten eta erabiltzaileari erasotzaileei deszifratzeko ordaindu behar diela jakinarazten diete.
Programa abiarazi ondoren, ordenagailuan erabiltzaile-fitxategiak bilatzen ditu eta enkriptatzen ditu. Bilaketak egiten dituzte API funtzio estandarrak erabiliz, eta horien erabilera-adibideak MSDNn erraz aurki daitezke .
1. irudia Bilatu erabiltzaile-fitxategiak
Pixka bat igaro ondoren, ordenagailua berrabiarazi eta blokeatutako ordenagailuari buruzko antzeko mezua bistaratzen dute.
2. irudia Blokeatzeko mezua
Sistema eragilearen abio-prozesua eteteko, ransomware-ak abio-erregistroa (MBR) aldatzeko teknika sinple bat erabiltzen du. Windows APIa erabiliz.
3. irudia Abio-erregistroaren aldaketa
Ordenagailu bat infiltratzeko metodo hau beste ransomware askok erabiltzen dute: SmartRansom, Maze, ONI Ransomware, Bioskits, MBRlock Ransomware, HDDCryptor Ransomware, RedBoot, UselessDisk. MBR berridazketa ezartzea publiko orokorrarentzat eskuragarri dago MBR Locker online bezalako programen iturburu-kodeak agertzean. Hau GitHub-en baieztatzen iturburu-kodea edo Visual Studiorako prest egindako proiektuak dituzten biltegi ugari aurki ditzakezu.
Kode hau GitHub-etik konpilatzen , erabiltzailearen ordenagailua segundo gutxitan desgaitzen duen programa da emaitza. Eta bost edo hamar minutu inguru behar dira muntatzeko.
Bihurtzen da malware gaiztoa muntatzeko ez duzula trebetasun edo baliabide handirik izan behar; edonork, edonon egin dezake. Kodea dohainik eskuragarri dago Interneten eta erraz erreproduzi daiteke antzeko programetan. Horrek pentsarazten dit. Arazo larria da hau, esku hartzea eta neurri batzuk hartzea eskatzen duena.
Iturria: www.habr.com