Tsjin de eftergrûn fan de coronavirus-pandemy is it gefoel dat der parallel mei in like grutskalige digitale epidemy útbruts is. . It taryf fan groei yn it oantal phishing-siden, spam, frauduleuze boarnen, malware en ferlykbere kweade aktiviteit makket serieuze soargen. De skaal fan 'e oanhâldende wetteloosheid wurdt oanjûn troch it nijs dat "afpersers tasizze om medyske ynstellingen net oan te fallen" . Ja, dat is krekt: dejingen dy't it libben en de sûnens fan minsken beskermje tidens de pandemy binne ek ûnderwurpen oan malware-oanfallen, lykas it gefal wie yn 'e Tsjechyske Republyk, wêr't de CoViper ransomware it wurk fan ferskate sikehuzen fersteurde .
D'r is in winsk om te begripen wat ransomware is dy't it tema fan coronavirus brûke en wêrom se sa fluch ferskine. Malware-samples waarden fûn op it netwurk - CoViper en CoronaVirus, dy't in protte kompjûters oanfallen, ynklusyf yn iepenbiere sikehuzen en medyske sintra.
Beide fan dizze útfierbere bestannen binne yn Portable Executable-formaat, wat suggerearret dat se rjochte binne op Windows. Se wurde ek kompilearre foar x86. It is opmerklik dat se tige op elkoar lykje, allinich CoViper is skreaun yn Delphi, sa't bliken docht út de kompilaasjedatum fan 19 juny 1992 en seksjenammen, en CoronaVirus yn C. Beide binne fertsjintwurdigers fan fersifers.
Ransomware of ransomware binne programma's dy't, ienris op 'e kompjûter fan in slachtoffer, brûkersbestannen fersiferje, it normale bootproses fan it bestjoeringssysteem fersteure en de brûker ynformearje dat hy de oanfallers moat betelje om it te ûntsiferjen.
Nei it starten fan it programma siket it nei brûkersbestannen op 'e kompjûter en fersiferet se. Se fiere sykopdrachten út mei standert API-funksjes, foarbylden fan gebrûk wêrfan maklik te finen binne op MSDN .
Fig.1 Sykje foar brûkersbestannen
Nei in skoftke starte se de kompjûter opnij en werjaan in ferlykber berjocht oer de kompjûter dy't blokkearre is.
Fig.2 Blocking berjocht
Om it bootproses fan it bestjoeringssysteem te fersteuren, brûkt ransomware in ienfâldige technyk om it bootrecord (MBR) te feroarjen. mei help fan de Windows API.
Fig.3 Modifikaasje fan boot record
Dizze metoade foar it eksfiltrearjen fan in kompjûter wurdt brûkt troch in protte oare ransomware: SmartRansom, Maze, ONI Ransomware, Bioskits, MBRlock Ransomware, HDDCryptor Ransomware, RedBoot, UselessDisk. De ymplemintaasje fan MBR-herskriuwen is beskikber foar it algemiene publyk mei it ferskinen fan boarnekoades foar programma's lykas MBR Locker online. Befêstigje dit op GitHub Jo kinne in enoarm oantal repositories fine mei boarnekoade as klearmakke projekten foar Visual Studio.
Dizze koade kompilearje fan GitHub , it resultaat is in programma dat de kompjûter fan de brûker yn in pear sekonden útskeakele. En it duorret sa'n fiif of tsien minuten om it te sammeljen.
It docht bliken dat om kweade malware te sammeljen jo gjin geweldige feardigens of boarnen hoege te hawwen; elkenien, oeral kin it dwaan. De koade is frij beskikber op it ynternet en kin maklik wurde reprodusearre yn ferlykbere programma's. Dit docht my tinken. Dit is in serieus probleem dat yntervinsje en it nimmen fan bepaalde maatregels fereasket.
Boarne: www.habr.com