E kūʻē i ke kua o ka maʻi maʻi coronavirus, aia kahi manaʻo ua haki ʻia kahi maʻi maʻi nui like me ia. . ʻO ka nui o ka ulu ʻana o ka nui o nā pūnaewele phishing, spam, nā kumuwaiwai hoʻopunipuni, malware a me nā hana ʻino like e hāpai i nā hopohopo koʻikoʻi. Hōʻike ʻia ka nui o ka hewa e hoʻomau nei e ka nūhou e "hoʻohiki ka poʻe extortionists ʻaʻole e hoʻouka i nā keʻena olakino" . ʻAe, pololei: ʻo ka poʻe e mālama i ke ola a me ke olakino o ka poʻe i ka wā o ka maʻi maʻi e pili pū ana i ka hoʻouka ʻana i nā malware, e like me ka hihia ma Czech Republic, kahi i hoʻopau ai ka CoViper ransomware i ka hana o kekahi mau haukapila. .
Aia ka makemake e hoʻomaopopo i ke ʻano o ka ransomware e hoʻohana nei i ke kumumanaʻo coronavirus a me ke kumu e ʻike wikiwiki ai lākou. Ua loaʻa nā laʻana Malware ma ka pūnaewele - CoViper a me CoronaVirus, nāna i hoʻouka i nā kamepiula he nui, me nā halemai aupuni a me nā kikowaena olakino.
Aia kēia mau faila hoʻokō ʻelua i ka format Portable Executable, e hōʻike ana e pili ana lākou iā Windows. Hoʻohui pū ʻia lākou no x86. He mea pono e like loa lākou me kekahi, ʻo CoViper wale nō i kākau ʻia ma Delphi, e like me ka mea i hōʻike ʻia e ka lā compilation o Iune 19, 1992 a me nā inoa ʻāpana, a ʻo CoronaVirus ma C. ʻO lāua nā ʻelele o nā encryptors.
ʻO Ransomware a i ʻole ransomware nā polokalamu e hoʻopili ai i nā faila mea hoʻohana, hoʻokahi manawa ma ka kamepiula o ka mea hoʻohana, hoʻopau i ke kaʻina hana boot maʻamau o ka ʻōnaehana hana, a hoʻomaopopo i ka mea hoʻohana e pono ʻo ia e uku i nā mea hoʻouka e hoʻokaʻawale iā ia.
Ma hope o ka hoʻomaka ʻana o ka papahana, ʻimi ʻo ia i nā faila mea hoʻohana ma ke kamepiula a hoʻopili iā lākou. Hana lākou i nā ʻimi me ka hoʻohana ʻana i nā hana API maʻamau, nā hiʻohiʻona o ka hoʻohana ʻana i hiki ke loaʻa maʻalahi ma MSDN .
Fig.1 Huli i nā faila mea hoʻohana
Ma hope o kekahi manawa, hoʻomaka hou lākou i ke kamepiula a hōʻike i kahi leka like e pili ana i ka pale ʻana o ke kamepiula.
Fig.2 Kāleka memo
No ka hoʻopau ʻana i ke kaʻina hana boot o ka ʻōnaehana hana, hoʻohana ʻo ransomware i kahi ʻano maʻalahi o ka hoʻololi ʻana i ka moʻolelo boot (MBR) me ka hoʻohana ʻana i ka Windows API.
Fig.3 Hoʻololi i ka moʻolelo boot
Hoʻohana ʻia kēia ʻano o ka exfiltrating i kahi kamepiula e nā mea ransomware ʻē aʻe: SmartRansom, Maze, ONI Ransomware, Bioskits, MBRlock Ransomware, HDDCryptor Ransomware, RedBoot, UselessDisk. Loaʻa ka hoʻokō ʻana i ke kākau hou ʻana MBR i ka lehulehu me ka ʻike ʻia o nā code kumu no nā polokalamu e like me MBR Locker ma ka pūnaewele. Ke hōʻoia nei i kēia ma GitHub hiki iā ʻoe ke ʻike i kahi helu nui o nā waihona me ka code kumu a i ʻole nā hana i mākaukau no Visual Studio.
Hoʻopili i kēia code mai GitHub , ʻo ka hopena he polokalamu e hoʻopau i ka kamepiula o ka mea hoʻohana i kekahi mau kekona. A he ʻelima a ʻumi paha mau minuke e hoʻākoakoa ai.
ʻIke ʻia i mea e hōʻuluʻulu ai i nā polokalamu ʻino ʻaʻole pono ʻoe e loaʻa nā mākau nui a i ʻole nā kumu waiwai; hiki i kekahi, ma nā wahi āpau ke hana. Loaʻa ka code ma ka Pūnaewele a hiki ke hana hou ʻia i nā papahana like. ʻO kēia kaʻu e noʻonoʻo ai. He pilikia koʻikoʻi kēia e pono ai ke komo ʻana a me ka lawe ʻana i kekahi mau hana.
Source: www.habr.com