U pozadini pandemije koronavirusa, postoji osjećaj da je paralelno s njom izbila jednako velika digitalna epidemija.
Obje ove izvršne datoteke su u formatu Portable Executable, što sugerira da su namijenjene Windowsima. Također su kompajlirani za x86. Važno je napomenuti da su vrlo slični jedni drugima, samo je CoViper napisan u Delphiju, o čemu svjedoče datum kompilacije 19. lipnja 1992. i nazivi odjeljaka, a CoronaVirus u C. Oba su predstavnici kriptora.
Ransomware ili ransomware su programi koji, jednom kada se nađu na žrtvinom računalu, kriptiraju korisničke datoteke, ometaju normalan proces pokretanja operativnog sustava i informiraju korisnika da treba platiti napadačima da ga dekriptiraju.
Nakon pokretanja program traži korisničke datoteke na računalu i šifrira ih. Pretraživanje obavljaju koristeći standardne API funkcije čije se primjere korištenja lako može pronaći na MSDN-u
Slika 1 Traženje korisničkih datoteka
Nakon nekog vremena ponovno pokreću računalo i prikazuju sličnu poruku o blokiranju računala.
Slika 2 Poruka o blokiranju
Kako bi poremetio proces pokretanja operativnog sustava, ransomware koristi jednostavnu tehniku izmjene zapisa pokretanja (MBR)
Slika 3. Izmjena zapisa pokretanja
Ovu metodu eksfiltracije računala koriste mnogi drugi ransomware: SmartRansom, Maze, ONI Ransomware, Bioskits, MBRlock Ransomware, HDDCryptor Ransomware, RedBoot, UselessDisk. Implementacija MBR prepisivanja dostupna je široj javnosti s pojavom izvornih kodova za programe kao što je MBR Locker online. Potvrđujem to na GitHubu
Kompajliranje ovog koda s GitHuba
Ispostavilo se da za sastavljanje zlonamjernog softvera ne morate imati velike vještine ili resurse; svatko, bilo gdje to može učiniti. Kod je besplatno dostupan na internetu i lako se može reproducirati u sličnim programima. Ovo me tjera na razmišljanje. Ovo je ozbiljan problem koji zahtijeva intervenciju i poduzimanje određenih mjera.
Izvor: www.habr.com