No contexto da pandemia de coronavirus, hai a sensación de que estalou paralelamente unha epidemia dixital a gran escala. . A taxa de crecemento do número de sitios de phishing, spam, recursos fraudulentos, software malicioso e actividades maliciosas similares xeran serias preocupacións. A magnitude da ilegalidade en curso vén indicada pola noticia de que "os extorsionadores prometen non atacar as institucións médicas" . Si, é certo: os que protexen a vida e a saúde das persoas durante a pandemia tamén están suxeitos a ataques de malware, como foi o caso da República Checa, onde o ransomware CoViper interrompeu o traballo de varios hospitais. .
Hai un desexo de comprender que é o ransomware que explota o tema do coronavirus e por que aparecen tan rápido. Atopáronse mostras de malware na rede: CoViper e CoronaVirus, que atacaron moitos ordenadores, incluso en hospitais públicos e centros médicos.
Estes dous ficheiros executables están en formato Portable Executable, o que suxire que están dirixidos a Windows. Tamén están compilados para x86. Cabe destacar que son moi semellantes entre si, só CoViper está escrito en Delphi, como demostra a data de compilación do 19 de xuño de 1992 e os nomes das seccións, e CoronaVirus en C. Ambos son representantes de cifradores.
O ransomware ou ransomware son programas que, unha vez no ordenador da vítima, cifran os ficheiros do usuario, interrompen o proceso de inicio normal do sistema operativo e informan ao usuario de que debe pagar aos atacantes para descifralo.
Despois de iniciar o programa, busca ficheiros de usuario no ordenador e encriptaos. Realizan buscas usando funcións estándar da API, exemplos de uso das cales pódense atopar facilmente en MSDN .
Fig.1 Busca ficheiros de usuario
Despois dun tempo, reinician o ordenador e mostran unha mensaxe semellante sobre o ordenador que está bloqueado.
Fig.2 Mensaxe de bloqueo
Para interromper o proceso de inicio do sistema operativo, o ransomware usa unha técnica sinxela de modificar o rexistro de inicio (MBR) usando a API de Windows.
Fig.3 Modificación do rexistro de arranque
Este método de exfiltración dun ordenador é usado por moitos outros ransomware: SmartRansom, Maze, ONI Ransomware, Bioskits, MBRlock Ransomware, HDDCryptor Ransomware, RedBoot, UselessDisk. A implementación da reescritura MBR está dispoñible para o público en xeral coa aparición de códigos fonte para programas como MBR Locker en liña. Confirmando isto en GitHub podes atopar un gran número de repositorios con código fonte ou proxectos preparados para Visual Studio.
Compilando este código desde GitHub , o resultado é un programa que desactiva o ordenador do usuario en poucos segundos. E leva uns cinco ou dez minutos montalo.
Acontece que para montar malware malicioso non é necesario ter grandes habilidades ou recursos; calquera, en calquera lugar pode facelo. O código está dispoñible gratuitamente en Internet e pódese reproducir facilmente en programas similares. Isto faime pensar. Este é un problema grave que require intervención e toma de determinadas medidas.
Fonte: www.habr.com