Nan contexte pandemi kowonaviris la, gen yon santiman ke yon epidemi dijital egalman gwo echèl te pete an paralèl ak li. . Pousantaj kwasans nan kantite sit èskrokri, spam, resous fwod, malveyan ak aktivite move menm jan an soulve enkyetid grav. Echèl la nan anachi kontinyèl la endike nan nouvèl la ke "ektòsyonis pwomèt pa atake enstitisyon medikal" . Wi, se vre: moun ki pwoteje lavi ak sante moun pandan pandemi an tou sijè a atak malveyan, menm jan sa te ka a nan Repiblik Tchekoslovaki, kote ransomware CoViper deranje travay plizyè lopital. .
Gen yon dezi pou konprann kisa ransomware k ap eksplwate tèm kowonaviris la e poukisa yo parèt rapidman. Yo te jwenn echantiyon malveyan sou rezo a - CoViper ak CoronaVirus, ki te atake anpil òdinatè, tankou nan lopital piblik ak sant medikal.
Tou de nan dosye sa yo ègzekutabl yo nan fòma Portable Executable, ki sijere ke yo vize Windows. Yo konpile tou pou x86. Li enpòtan pou remake ke yo sanble anpil youn ak lòt, se sèlman CoViper ki ekri nan Delphi, kòm evidans dat konpilasyon 19 jen 1992 ak non seksyon yo, ak CoronaVirus nan C. Tou de se reprezantan ki nan chifreman.
Ransomware oswa ransomware se pwogram ki, yon fwa sou òdinatè yon viktim, ankripte fichye itilizatè yo, deranje pwosesis nòmal bòt sistèm opere a, epi enfòme itilizatè a ke li bezwen peye atakè yo pou dechifre li.
Apre lanse pwogram nan, li chèche fichye itilizatè yo sou òdinatè a epi li ankripte yo. Yo fè rechèch lè l sèvi avèk fonksyon API estanda, egzanp sou itilizasyon yo ka fasil jwenn sou MSDN .
Fig.1 Chèche dosye itilizatè
Apre yon ti tan, yo rekòmanse òdinatè a epi yo montre yon mesaj ki sanble sou òdinatè a ke yo te bloke.
Fig.2 Mesaj bloke
Pou deranje pwosesis bòt sistèm operasyon an, ransomware sèvi ak yon senp teknik pou modifye dosye bòt la (MBR) lè l sèvi avèk API Windows la.
Fig.3 Modifikasyon dosye bòt
Metòd sa a pou eksfiltrasyon yon òdinatè yo itilize pa anpil lòt ransomware: SmartRansom, Maze, ONI Ransomware, Bioskits, MBRlock Ransomware, HDDCryptor Ransomware, RedBoot, UselessDisk. Aplikasyon MBR reekri disponib pou piblik la an jeneral ak aparans nan kòd sous pou pwogram tankou MBR Locker sou entènèt. Konfime sa a sou GitHub ou ka jwenn yon gwo kantite depo ak kòd sous oswa pwojè pare-fè pou Visual Studio.
Konpile kòd sa a soti nan GitHub , rezilta a se yon pwogram ki enfim òdinatè itilizatè a nan kèk segonn. Epi li pran apeprè senk oswa dis minit pou rasanble li.
Li sanble ke yo nan lòd yo rasanble malveyan move ou pa bezwen gen gwo ladrès oswa resous; nenpòt moun, nenpòt kote ka fè li. Kòd la disponib gratis sou Entènèt la epi li ka fasilman repwodui nan pwogram ki sanble. Sa fè m reflechi. Sa a se yon pwoblèm grav ki mande entèvansyon ak pran sèten mezi.
Sous: www.habr.com