Tsjin de eftergrûn fan de coronavirus-pandemy is it gefoel dat der parallel mei in like grutskalige digitale epidemy útbruts is.
Beide fan dizze útfierbere bestannen binne yn Portable Executable-formaat, wat suggerearret dat se rjochte binne op Windows. Se wurde ek kompilearre foar x86. It is opmerklik dat se tige op elkoar lykje, allinich CoViper is skreaun yn Delphi, sa't bliken docht út de kompilaasjedatum fan 19 juny 1992 en seksjenammen, en CoronaVirus yn C. Beide binne fertsjintwurdigers fan fersifers.
Ransomware of ransomware binne programma's dy't, ienris op 'e kompjûter fan in slachtoffer, brûkersbestannen fersiferje, it normale bootproses fan it bestjoeringssysteem fersteure en de brûker ynformearje dat hy de oanfallers moat betelje om it te ûntsiferjen.
Nei it starten fan it programma siket it nei brûkersbestannen op 'e kompjûter en fersiferet se. Se fiere sykopdrachten út mei standert API-funksjes, foarbylden fan gebrûk wêrfan maklik te finen binne op MSDN
Fig.1 Sykje foar brûkersbestannen
Nei in skoftke starte se de kompjûter opnij en werjaan in ferlykber berjocht oer de kompjûter dy't blokkearre is.
Fig.2 Blocking berjocht
Om it bootproses fan it bestjoeringssysteem te fersteuren, brûkt ransomware in ienfâldige technyk om it bootrecord (MBR) te feroarjen.
Fig.3 Modifikaasje fan boot record
Dizze metoade foar it eksfiltrearjen fan in kompjûter wurdt brûkt troch in protte oare ransomware: SmartRansom, Maze, ONI Ransomware, Bioskits, MBRlock Ransomware, HDDCryptor Ransomware, RedBoot, UselessDisk. De ymplemintaasje fan MBR-herskriuwen is beskikber foar it algemiene publyk mei it ferskinen fan boarnekoades foar programma's lykas MBR Locker online. Befêstigje dit op GitHub
Dizze koade kompilearje fan GitHub
It docht bliken dat om kweade malware te sammeljen jo gjin geweldige feardigens of boarnen hoege te hawwen; elkenien, oeral kin it dwaan. De koade is frij beskikber op it ynternet en kin maklik wurde reprodusearre yn ferlykbere programma's. Dit docht my tinken. Dit is in serieus probleem dat yntervinsje en it nimmen fan bepaalde maatregels fereasket.
Boarne: www.habr.com