Dans le contexte de la pandémie de coronavirus, on a le sentiment qu’une épidémie numérique tout aussi importante a éclaté en parallèle. . Le taux de croissance du nombre de sites de phishing, de spam, de ressources frauduleuses, de logiciels malveillants et d'activités malveillantes similaires suscite de sérieuses inquiétudes. L’ampleur de l’anarchie actuelle est illustrée par la nouvelle selon laquelle « les extorsionnistes promettent de ne pas attaquer les institutions médicales ». . Oui, c’est vrai : ceux qui protègent la vie et la santé des gens pendant la pandémie sont également victimes d’attaques de logiciels malveillants, comme ce fut le cas en République tchèque, où le ransomware CoViper a perturbé le travail de plusieurs hôpitaux. .
Il existe une volonté de comprendre ce qu’est un ransomware exploitant le thème du coronavirus et pourquoi ils apparaissent si rapidement. Des échantillons de logiciels malveillants ont été trouvés sur le réseau - CoViper et CoronaVirus, qui ont attaqué de nombreux ordinateurs, notamment dans les hôpitaux publics et les centres médicaux.
Ces deux fichiers exécutables sont au format Portable Executable, ce qui suggère qu'ils sont destinés à Windows. Ils sont également compilés pour x86. Il est à noter qu'ils sont très similaires les uns aux autres, seul CoViper est écrit en Delphi, comme en témoignent la date de compilation du 19 juin 1992 et les noms de sections, et CoronaVirus en C. Tous deux sont des représentants des chiffreurs.
Les ransomwares ou ransomwares sont des programmes qui, une fois sur l'ordinateur d'une victime, cryptent les fichiers de l'utilisateur, perturbent le processus de démarrage normal du système d'exploitation et informent l'utilisateur qu'il doit payer les attaquants pour le décrypter.
Après avoir lancé le programme, il recherche les fichiers utilisateur sur l'ordinateur et les crypte. Ils effectuent des recherches à l'aide de fonctions API standards, dont des exemples d'utilisation peuvent être facilement trouvés sur MSDN. .
Fig.1 Recherche de fichiers utilisateur
Après un certain temps, ils redémarrent l'ordinateur et affichent un message similaire indiquant que l'ordinateur est bloqué.
Fig.2 Message de blocage
Pour perturber le processus de démarrage du système d'exploitation, le ransomware utilise une technique simple de modification de l'enregistrement de démarrage (MBR). en utilisant l'API Windows.
Fig.3 Modification de l'enregistrement de démarrage
Cette méthode d'exfiltration d'un ordinateur est utilisée par de nombreux autres ransomwares : SmartRansom, Maze, ONI Ransomware, Bioskits, MBRlock Ransomware, HDDCryptor Ransomware, RedBoot, UselessDisk. La mise en œuvre de la réécriture MBR est accessible au grand public avec l'apparition des codes sources de programmes comme MBR Locker en ligne. Confirmation sur GitHub vous pouvez trouver un grand nombre de référentiels avec du code source ou des projets prêts à l'emploi pour Visual Studio.
Compiler ce code depuis GitHub , le résultat est un programme qui désactive l’ordinateur de l’utilisateur en quelques secondes. Et il faut environ cinq ou dix minutes pour l'assembler.
Il s’avère que pour assembler des logiciels malveillants, vous n’avez pas besoin de grandes compétences ou de grandes ressources : n’importe qui, n’importe où, peut le faire. Le code est disponible gratuitement sur Internet et peut facilement être reproduit dans des programmes similaires. Cela me fait réfléchir. Il s'agit d'un problème grave qui nécessite une intervention et la prise de certaines mesures.
Source: habr.com