U pozadini pandemije koronavirusa, postoji osjećaj da je paralelno s njom izbila jednako velika digitalna epidemija. . Stopa rasta broja stranica za krađu identiteta, neželjene pošte, lažnih izvora, zlonamjernog softvera i sličnih zlonamjernih aktivnosti izaziva ozbiljnu zabrinutost. O razmjerima bezakonja koje traje govori i vijest da “iznuđivači obećavaju da neće napadati zdravstvene ustanove” . Da, tako je: oni koji tijekom pandemije štite živote i zdravlje ljudi također su izloženi napadima zlonamjernog softvera, kao što je bio slučaj u Češkoj, gdje je CoViper ransomware poremetio rad nekoliko bolnica .
Postoji želja da se shvati što je ransomware koji iskorištava temu koronavirusa i zašto se pojavljuje tako brzo. Na mreži su pronađeni uzorci zlonamjernog softvera - CoViper i CoronaVirus, koji su napali mnoga računala, uključujući u javnim bolnicama i medicinskim centrima.
Obje ove izvršne datoteke su u formatu Portable Executable, što sugerira da su namijenjene Windowsima. Također su kompajlirani za x86. Važno je napomenuti da su vrlo slični jedni drugima, samo je CoViper napisan u Delphiju, o čemu svjedoče datum kompilacije 19. lipnja 1992. i nazivi odjeljaka, a CoronaVirus u C. Oba su predstavnici kriptora.
Ransomware ili ransomware su programi koji, jednom kada se nađu na žrtvinom računalu, kriptiraju korisničke datoteke, ometaju normalan proces pokretanja operativnog sustava i informiraju korisnika da treba platiti napadačima da ga dekriptiraju.
Nakon pokretanja program traži korisničke datoteke na računalu i šifrira ih. Pretraživanje obavljaju koristeći standardne API funkcije čije se primjere korištenja lako može pronaći na MSDN-u .
Slika 1 Traženje korisničkih datoteka
Nakon nekog vremena ponovno pokreću računalo i prikazuju sličnu poruku o blokiranju računala.
Slika 2 Poruka o blokiranju
Kako bi poremetio proces pokretanja operativnog sustava, ransomware koristi jednostavnu tehniku izmjene zapisa pokretanja (MBR) koristeći Windows API.
Slika 3. Izmjena zapisa pokretanja
Ovu metodu eksfiltracije računala koriste mnogi drugi ransomware: SmartRansom, Maze, ONI Ransomware, Bioskits, MBRlock Ransomware, HDDCryptor Ransomware, RedBoot, UselessDisk. Implementacija MBR prepisivanja dostupna je široj javnosti s pojavom izvornih kodova za programe kao što je MBR Locker online. Potvrđujem to na GitHubu možete pronaći veliki broj repozitorija s izvornim kodom ili gotovim projektima za Visual Studio.
Kompajliranje ovog koda s GitHuba , rezultat je program koji onesposobljava računalo korisnika u nekoliko sekundi. I potrebno je oko pet ili deset minuta da ga sastavite.
Ispostavilo se da za sastavljanje zlonamjernog softvera ne morate imati velike vještine ili resurse; svatko, bilo gdje to može učiniti. Kod je besplatno dostupan na internetu i lako se može reproducirati u sličnim programima. Ovo me tjera na razmišljanje. Ovo je ozbiljan problem koji zahtijeva intervenciju i poduzimanje određenih mjera.
Izvor: www.habr.com