در پس زمینه همهگیری ویروس کرونا، این احساس وجود دارد که یک اپیدمی دیجیتال در مقیاس بزرگ به موازات آن شیوع یافته است.
هر دوی این فایل های اجرایی با فرمت Portable Executable هستند که نشان می دهد هدف آنها ویندوز است. آنها همچنین برای x86 کامپایل شده اند. قابل ذکر است که شباهت زیادی به یکدیگر دارند، فقط CoViper در دلفی نوشته شده است که تاریخ گردآوری 19 ژوئن 1992 و نام بخش ها نشان می دهد و CoronaVirus در C. هر دو نماینده رمزنگاران هستند.
باجافزار یا باجافزار برنامههایی هستند که یک بار روی رایانه قربانی، فایلهای کاربر را رمزگذاری میکنند، فرآیند بوت عادی سیستم عامل را مختل میکنند و به کاربر اطلاع میدهند که برای رمزگشایی آن باید به مهاجمان پول پرداخت کند.
پس از راه اندازی برنامه، فایل های کاربر را در رایانه جستجو کرده و آنها را رمزگذاری می کند. آنها جستجوها را با استفاده از توابع استاندارد API انجام می دهند که نمونه های استفاده از آن را می توان به راحتی در MSDN یافت
شکل 1 جستجو برای فایل های کاربر
پس از مدتی کامپیوتر را مجددا راه اندازی می کنند و پیامی مشابه در مورد مسدود بودن کامپیوتر نمایش می دهند.
شکل 2 پیام مسدود کردن
برای ایجاد اختلال در فرآیند بوت سیستم عامل، باج افزار از تکنیک ساده تغییر رکورد بوت (MBR) استفاده می کند.
شکل 3 اصلاح رکورد بوت
این روش برای استخراج کامپیوتر توسط بسیاری از باج افزارهای دیگر استفاده می شود: SmartRansom، Maze، ONI Ransomware، Bioskits، MBRlock Ransomware، HDDCryptor Ransomware، RedBoot، UselessDisk. اجرای بازنویسی MBR با ظاهر کدهای منبع برنامه هایی مانند MBR Locker به صورت آنلاین در دسترس عموم قرار می گیرد. در حال تایید این موضوع در GitHub
کامپایل این کد از GitHub
به نظر می رسد که برای جمع آوری بدافزارهای مخرب، نیازی به داشتن مهارت ها یا منابع عالی نیست؛ هر کسی، در هر کجا می تواند این کار را انجام دهد. این کد به صورت رایگان در اینترنت موجود است و به راحتی می توان آن را در برنامه های مشابه بازتولید کرد. این مرا به فکر وا می دارد. این یک مشکل جدی است که نیاز به مداخله و انجام اقدامات خاصی دارد.
منبع: www.habr.com