ProHoster > وبلاگ > اداره > اپیدمی دیجیتال: کروناویروس در مقابل CoViper

اپیدمی دیجیتال: کروناویروس در مقابل CoViper

در پس زمینه همه‌گیری ویروس کرونا، این احساس وجود دارد که یک اپیدمی دیجیتال در مقیاس بزرگ به موازات آن شیوع یافته است. [1]. نرخ رشد تعداد سایت های فیشینگ، هرزنامه ها، منابع تقلبی، بدافزارها و فعالیت های مخرب مشابه نگرانی های جدی را ایجاد می کند. گستردگی بی‌قانونی ادامه‌دار با این خبر نشان می‌دهد که «زورگیران قول می‌دهند به مراکز درمانی حمله نکنند» [2]. بله، درست است: کسانی که از جان و سلامت مردم در طول همه گیری محافظت می کنند نیز در معرض حملات بدافزار قرار می گیرند، همانطور که در جمهوری چک اتفاق افتاد، جایی که باج افزار CoViper کار چندین بیمارستان را مختل کرد. [3].
میل به درک باج‌افزاری که از موضوع کروناویروس سوء استفاده می‌کند چیست و چرا اینقدر سریع ظاهر می‌شوند وجود دارد. نمونه‌های بدافزار در شبکه یافت شد - CoViper و CoronaVirus، که به بسیاری از رایانه‌ها، از جمله در بیمارستان‌های دولتی و مراکز پزشکی حمله کردند.
هر دوی این فایل های اجرایی با فرمت Portable Executable هستند که نشان می دهد هدف آنها ویندوز است. آنها همچنین برای x86 کامپایل شده اند. قابل ذکر است که شباهت زیادی به یکدیگر دارند، فقط CoViper در دلفی نوشته شده است که تاریخ گردآوری 19 ژوئن 1992 و نام بخش ها نشان می دهد و CoronaVirus در C. هر دو نماینده رمزنگاران هستند.
باج‌افزار یا باج‌افزار برنامه‌هایی هستند که یک بار روی رایانه قربانی، فایل‌های کاربر را رمزگذاری می‌کنند، فرآیند بوت عادی سیستم عامل را مختل می‌کنند و به کاربر اطلاع می‌دهند که برای رمزگشایی آن باید به مهاجمان پول پرداخت کند.
پس از راه اندازی برنامه، فایل های کاربر را در رایانه جستجو کرده و آنها را رمزگذاری می کند. آنها جستجوها را با استفاده از توابع استاندارد API انجام می دهند که نمونه های استفاده از آن را می توان به راحتی در MSDN یافت [4].

اپیدمی دیجیتال: کروناویروس در مقابل CoViper
شکل 1 جستجو برای فایل های کاربر

پس از مدتی کامپیوتر را مجددا راه اندازی می کنند و پیامی مشابه در مورد مسدود بودن کامپیوتر نمایش می دهند.
اپیدمی دیجیتال: کروناویروس در مقابل CoViper
شکل 2 پیام مسدود کردن

برای ایجاد اختلال در فرآیند بوت سیستم عامل، باج افزار از تکنیک ساده تغییر رکورد بوت (MBR) استفاده می کند. [5] با استفاده از API ویندوز
اپیدمی دیجیتال: کروناویروس در مقابل CoViper
شکل 3 اصلاح رکورد بوت

این روش برای استخراج کامپیوتر توسط بسیاری از باج افزارهای دیگر استفاده می شود: SmartRansom، Maze، ONI Ransomware، Bioskits، MBRlock Ransomware، HDDCryptor Ransomware، RedBoot، UselessDisk. اجرای بازنویسی MBR با ظاهر کدهای منبع برنامه هایی مانند MBR Locker به صورت آنلاین در دسترس عموم قرار می گیرد. در حال تایید این موضوع در GitHub [6] شما می توانید تعداد زیادی مخزن با کد منبع یا پروژه های آماده برای ویژوال استودیو پیدا کنید.
کامپایل این کد از GitHub [7]، نتیجه برنامه ای است که کامپیوتر کاربر را در چند ثانیه غیرفعال می کند. و تقریباً پنج یا ده دقیقه طول می کشد تا آن را جمع آوری کنید.
به نظر می رسد که برای جمع آوری بدافزارهای مخرب، نیازی به داشتن مهارت ها یا منابع عالی نیست؛ هر کسی، در هر کجا می تواند این کار را انجام دهد. این کد به صورت رایگان در اینترنت موجود است و به راحتی می توان آن را در برنامه های مشابه بازتولید کرد. این مرا به فکر وا می دارد. این یک مشکل جدی است که نیاز به مداخله و انجام اقدامات خاصی دارد.

منبع: www.habr.com

اضافه کردن نظر