No contexto da pandemia de coronavirus, hai a sensación de que estalou paralelamente unha epidemia dixital a gran escala.
Estes dous ficheiros executables están en formato Portable Executable, o que suxire que están dirixidos a Windows. Tamén están compilados para x86. Cabe destacar que son moi semellantes entre si, só CoViper está escrito en Delphi, como demostra a data de compilación do 19 de xuño de 1992 e os nomes das seccións, e CoronaVirus en C. Ambos son representantes de cifradores.
O ransomware ou ransomware son programas que, unha vez no ordenador da vítima, cifran os ficheiros do usuario, interrompen o proceso de inicio normal do sistema operativo e informan ao usuario de que debe pagar aos atacantes para descifralo.
Despois de iniciar o programa, busca ficheiros de usuario no ordenador e encriptaos. Realizan buscas usando funcións estándar da API, exemplos de uso das cales pódense atopar facilmente en MSDN
Fig.1 Busca ficheiros de usuario
Despois dun tempo, reinician o ordenador e mostran unha mensaxe semellante sobre o ordenador que está bloqueado.
Fig.2 Mensaxe de bloqueo
Para interromper o proceso de inicio do sistema operativo, o ransomware usa unha técnica sinxela de modificar o rexistro de inicio (MBR)
Fig.3 Modificación do rexistro de arranque
Este método de exfiltración dun ordenador é usado por moitos outros ransomware: SmartRansom, Maze, ONI Ransomware, Bioskits, MBRlock Ransomware, HDDCryptor Ransomware, RedBoot, UselessDisk. A implementación da reescritura MBR está dispoñible para o público en xeral coa aparición de códigos fonte para programas como MBR Locker en liña. Confirmando isto en GitHub
Compilando este código desde GitHub
Acontece que para montar malware malicioso non é necesario ter grandes habilidades ou recursos; calquera, en calquera lugar pode facelo. O código está dispoñible gratuitamente en Internet e pódese reproducir facilmente en programas similares. Isto faime pensar. Este é un problema grave que require intervención e toma de determinadas medidas.
Fonte: www.habr.com