Koronaviruspandemian taustalla on tunne, että sen rinnalla on puhjennut yhtä laaja digitaalinen epidemia.
Molemmat suoritettavat tiedostot ovat Portable Executable -muodossa, mikä viittaa siihen, että ne on suunnattu Windowsille. Ne on myös käännetty x86:lle. On huomionarvoista, että ne ovat hyvin samankaltaisia toistensa kanssa, vain CoViper on kirjoitettu Delphissä, mistä todistavat koontipäivämäärä 19. kesäkuuta 1992 ja osien nimet, ja CoronaVirus C:ssä. Molemmat edustavat salauslaitteita.
Ransomware tai ransomware ovat ohjelmia, jotka kerran uhrin tietokoneella salaavat käyttäjätiedostot, häiritsevät käyttöjärjestelmän normaalia käynnistysprosessia ja ilmoittavat käyttäjälle, että hänen on maksettava hyökkääjille salauksen purkamisesta.
Ohjelman käynnistämisen jälkeen se etsii käyttäjätiedostoja tietokoneelta ja salaa ne. He tekevät hakuja standardinmukaisilla API-funktioilla, joiden käyttöesimerkkejä löytyy helposti MSDN:stä
Kuva 1 Etsi käyttäjätiedostoja
Hetken kuluttua he käynnistävät tietokoneen uudelleen ja näyttävät samanlaisen viestin siitä, että tietokone on estetty.
Kuva 2 Estoviesti
Käyttöjärjestelmän käynnistysprosessin häiritsemiseksi lunnasohjelmat käyttävät yksinkertaista tekniikkaa muuttaa käynnistystietuetta (MBR).
Kuva 3 Käynnistystietueen muutos
Tätä tietokoneen suodatusmenetelmää käyttävät monet muut kiristysohjelmat: SmartRansom, Maze, ONI Ransomware, Bioskits, MBRlock Ransomware, HDDCryptor Ransomware, RedBoot, UselessDisk. MBR-uudelleenkirjoituksen toteutus on suuren yleisön saatavilla, kun MBR Lockerin kaltaisten ohjelmien lähdekoodit ilmestyvät verkossa. Vahvistetaan tämä GitHubissa
Käännetään tätä koodia GitHubista
Osoittautuu, että haitallisten haittaohjelmien kokoamiseen ei tarvitse olla suuria taitoja tai resursseja, vaan kuka tahansa, missä tahansa, voi tehdä sen. Koodi on vapaasti saatavilla Internetissä ja se voidaan helposti toistaa vastaavissa ohjelmissa. Tämä saa minut ajattelemaan. Tämä on vakava ongelma, joka vaatii puuttumista ja tiettyjä toimenpiteitä.
Lähde: will.com