A koronavírus-járvány hátterében az az érzésünk, hogy vele párhuzamosan egy hasonlóan nagyszabású digitális járvány tört ki.
Mindkét végrehajtható fájl Portable Executable formátumú, ami arra utal, hogy a Windowsra irányul. x86-ra is vannak fordítva. Figyelemre méltó, hogy nagyon hasonlítanak egymásra, csak a CoViper van írva Delphiben, ezt bizonyítja az 19. június 1992-i összeállítási dátum és a szekciónevek, a CoronaVirus pedig C-ben. Mindketten a titkosítók képviselői.
A ransomware vagy ransomware olyan programok, amelyek az áldozat számítógépére kerülve titkosítják a felhasználói fájlokat, megzavarják az operációs rendszer normál indítási folyamatát, és tájékoztatják a felhasználót, hogy fizetnie kell a támadóknak a visszafejtésért.
A program elindítása után megkeresi a felhasználói fájlokat a számítógépen, és titkosítja azokat. Szabványos API-függvényekkel végeznek keresést, amelyek használatára az MSDN-en könnyen találhatunk példákat
1. ábra Felhasználói fájlok keresése
Egy idő után újraindítják a számítógépet, és hasonló üzenetet jelenítenek meg a blokkolt számítógépről.
2. ábra Blokkolás üzenet
Az operációs rendszer rendszerindítási folyamatának megzavarására a ransomware egy egyszerű technikát alkalmaz a rendszerindítási rekord (MBR) módosítására.
3. ábra A rendszerindítási rekord módosítása
A számítógépek kiszűrésének ezt a módszerét számos más zsarolóvírus is használja: SmartRansom, Maze, ONI Ransomware, Bioskits, MBRlock Ransomware, HDDCryptor Ransomware, RedBoot, UselessDisk. Az MBR-átírás megvalósítása a nagyközönség számára elérhető olyan programok forráskódjainak megjelenésével, mint az MBR Locker online. Ennek megerősítése a GitHubon
Ennek a kódnak a fordítása a GitHubból
Kiderült, hogy rosszindulatú rosszindulatú programok összeállításához nincs szükség nagy készségekre vagy erőforrásokra, ezt bárki, bárhol megteheti. A kód szabadon elérhető az interneten, és könnyen reprodukálható hasonló programokban. Ez elgondolkodtat. Ez egy komoly probléma, amely beavatkozást és bizonyos intézkedéseket igényel.
Forrás: will.com