A koronavírus-járvány hátterében az az érzésünk, hogy vele párhuzamosan egy hasonlóan nagyszabású digitális járvány tört ki. . Az adathalász oldalak, a spamek, a csaló források, a rosszindulatú programok és a hasonló rosszindulatú tevékenységek számának növekedése komoly aggályokat vet fel. A folyamatos törvénytelenség mértékére utal az a hír, hogy „a zsarolók megígérik, hogy nem támadják meg az egészségügyi intézményeket” . Igen, ez így van: az emberek életét és egészségét védő embereket a világjárvány idején rosszindulatú programok támadások érik, ahogyan az a Cseh Köztársaságban is történt, ahol a CoViper ransomware több kórház munkáját is megzavarta. .
Szeretnénk megérteni, mi az a zsarolóprogram, amely kihasználja a koronavírus-témát, és miért jelennek meg ilyen gyorsan. Malware mintákat találtak a hálózaton - a CoViper és a CoronaVirus, amelyek számos számítógépet támadtak meg, többek között állami kórházakban és egészségügyi központokban.
Mindkét végrehajtható fájl Portable Executable formátumú, ami arra utal, hogy a Windowsra irányul. x86-ra is vannak fordítva. Figyelemre méltó, hogy nagyon hasonlítanak egymásra, csak a CoViper van írva Delphiben, ezt bizonyítja az 19. június 1992-i összeállítási dátum és a szekciónevek, a CoronaVirus pedig C-ben. Mindketten a titkosítók képviselői.
A ransomware vagy ransomware olyan programok, amelyek az áldozat számítógépére kerülve titkosítják a felhasználói fájlokat, megzavarják az operációs rendszer normál indítási folyamatát, és tájékoztatják a felhasználót, hogy fizetnie kell a támadóknak a visszafejtésért.
A program elindítása után megkeresi a felhasználói fájlokat a számítógépen, és titkosítja azokat. Szabványos API-függvényekkel végeznek keresést, amelyek használatára az MSDN-en könnyen találhatunk példákat .
1. ábra Felhasználói fájlok keresése
Egy idő után újraindítják a számítógépet, és hasonló üzenetet jelenítenek meg a blokkolt számítógépről.
2. ábra Blokkolás üzenet
Az operációs rendszer rendszerindítási folyamatának megzavarására a ransomware egy egyszerű technikát alkalmaz a rendszerindítási rekord (MBR) módosítására. a Windows API használatával.
3. ábra A rendszerindítási rekord módosítása
A számítógépek kiszűrésének ezt a módszerét számos más zsarolóvírus is használja: SmartRansom, Maze, ONI Ransomware, Bioskits, MBRlock Ransomware, HDDCryptor Ransomware, RedBoot, UselessDisk. Az MBR-átírás megvalósítása a nagyközönség számára elérhető olyan programok forráskódjainak megjelenésével, mint az MBR Locker online. Ennek megerősítése a GitHubon Rengeteg tárhelyet találhat forráskóddal vagy kész projektekkel a Visual Studio számára.
Ennek a kódnak a fordítása a GitHubból , az eredmény egy olyan program, amely néhány másodpercen belül letiltja a felhasználó számítógépét. És körülbelül öt-tíz percig tart az összeszerelés.
Kiderült, hogy rosszindulatú rosszindulatú programok összeállításához nincs szükség nagy készségekre vagy erőforrásokra, ezt bárki, bárhol megteheti. A kód szabadon elérhető az interneten, és könnyen reprodukálható hasonló programokban. Ez elgondolkodtat. Ez egy komoly probléma, amely beavatkozást és bizonyos intézkedéseket igényel.
Forrás: will.com