Koronaviruspandemian taustalla on tunne, että sen rinnalla on puhjennut yhtä laaja digitaalinen epidemia. . Tietojenkalastelusivustojen, roskapostin, petollisten resurssien, haittaohjelmien ja vastaavien haitallisten toimintojen määrän kasvu herättää vakavaa huolta. Jatkuvan laittomuuden laajuudesta kertoo uutinen, että "kiristäjät lupaavat olla hyökkäämättä lääkintälaitoksiin" . Kyllä, se on oikein: ne, jotka suojelevat ihmisten elämää ja terveyttä pandemian aikana, joutuvat myös haittaohjelmien hyökkäyksiin, kuten tapahtui Tšekin tasavallassa, jossa CoViper-lunnasohjelma häiritsi useiden sairaaloiden työtä. .
Halutaan ymmärtää, mitä koronavirusteemaa hyödyntävät lunnasohjelmat ovat ja miksi ne ilmestyvät niin nopeasti. Verkosta löydettiin haittaohjelmanäytteitä - CoViper ja CoronaVirus, jotka hyökkäsivät moniin tietokoneisiin, myös julkisissa sairaaloissa ja terveyskeskuksissa.
Molemmat suoritettavat tiedostot ovat Portable Executable -muodossa, mikä viittaa siihen, että ne on suunnattu Windowsille. Ne on myös käännetty x86:lle. On huomionarvoista, että ne ovat hyvin samankaltaisia toistensa kanssa, vain CoViper on kirjoitettu Delphissä, mistä todistavat koontipäivämäärä 19. kesäkuuta 1992 ja osien nimet, ja CoronaVirus C:ssä. Molemmat edustavat salauslaitteita.
Ransomware tai ransomware ovat ohjelmia, jotka kerran uhrin tietokoneella salaavat käyttäjätiedostot, häiritsevät käyttöjärjestelmän normaalia käynnistysprosessia ja ilmoittavat käyttäjälle, että hänen on maksettava hyökkääjille salauksen purkamisesta.
Ohjelman käynnistämisen jälkeen se etsii käyttäjätiedostoja tietokoneelta ja salaa ne. He tekevät hakuja standardinmukaisilla API-funktioilla, joiden käyttöesimerkkejä löytyy helposti MSDN:stä .
Kuva 1 Etsi käyttäjätiedostoja
Hetken kuluttua he käynnistävät tietokoneen uudelleen ja näyttävät samanlaisen viestin siitä, että tietokone on estetty.
Kuva 2 Estoviesti
Käyttöjärjestelmän käynnistysprosessin häiritsemiseksi lunnasohjelmat käyttävät yksinkertaista tekniikkaa muuttaa käynnistystietuetta (MBR). Windows API:n avulla.
Kuva 3 Käynnistystietueen muutos
Tätä tietokoneen suodatusmenetelmää käyttävät monet muut kiristysohjelmat: SmartRansom, Maze, ONI Ransomware, Bioskits, MBRlock Ransomware, HDDCryptor Ransomware, RedBoot, UselessDisk. MBR-uudelleenkirjoituksen toteutus on suuren yleisön saatavilla, kun MBR Lockerin kaltaisten ohjelmien lähdekoodit ilmestyvät verkossa. Vahvistetaan tämä GitHubissa Löydät valtavan määrän arkistoja, joissa on lähdekoodia tai valmiita projekteja Visual Studioon.
Käännetään tätä koodia GitHubista , tuloksena on ohjelma, joka sammuttaa käyttäjän tietokoneen muutamassa sekunnissa. Ja sen kokoamiseen menee noin viisi tai kymmenen minuuttia.
Osoittautuu, että haitallisten haittaohjelmien kokoamiseen ei tarvitse olla suuria taitoja tai resursseja, vaan kuka tahansa, missä tahansa, voi tehdä sen. Koodi on vapaasti saatavilla Internetissä ja se voidaan helposti toistaa vastaavissa ohjelmissa. Tämä saa minut ajattelemaan. Tämä on vakava ongelma, joka vaatii puuttumista ja tiettyjä toimenpiteitä.
Lähde: will.com