Կորոնավիրուսի համաճարակի ֆոնին զգացվում է, որ դրան զուգահեռ նույնքան մասշտաբային թվային համաճարակ է բռնկվել։ . Ֆիշինգ կայքերի, սպամի, խարդախ ռեսուրսների, չարամիտ ծրագրերի և նմանատիպ վնասակար գործունեության աճի տեմպերը լուրջ մտահոգություններ են առաջացնում: Շարունակվող ապօրինությունների մասշտաբները վկայում են այն լուրերը, թե «շորթողները խոստանում են չհարձակվել բուժհաստատությունների վրա». . Այո, դա այդպես է. նրանք, ովքեր պաշտպանում են մարդկանց կյանքն ու առողջությունը համաճարակի ժամանակ, նույնպես ենթակա են չարամիտ գրոհների, ինչպես եղավ Չեխիայի Հանրապետությունում, որտեղ CoViper փրկագին խաթարեց մի քանի հիվանդանոցների աշխատանքը: .
Ցանկություն կա հասկանալու, թե ինչ է կորոնավիրուսի թեման շահագործող փրկագին և ինչու են դրանք այդքան արագ հայտնվում։ Ցանցում հայտնաբերվել են չարամիտ ծրագրերի նմուշներ՝ CoViper և CoronaVirus, որոնք հարձակվել են բազմաթիվ համակարգիչների վրա, այդ թվում՝ պետական հիվանդանոցներում և բժշկական կենտրոններում:
Այս երկու գործարկվող ֆայլերն էլ Portable Executable ձևաչափով են, ինչը հուշում է, որ դրանք ուղղված են Windows-ին: Դրանք նույնպես կազմված են x86-ի համար։ Հատկանշական է, որ դրանք շատ նման են միմյանց, միայն CoViper-ն է գրված Delphi-ում, ինչի մասին վկայում է 19 թվականի հունիսի 1992-ի կազմման ամսաթիվը և բաժինների անվանումները, իսկ CoronaVirus-ը C-ում։ Երկուսն էլ կրիպտոգրաֆիստների ներկայացուցիչներ են։
Ransomware-ը կամ ransomware-ը այն ծրագրերն են, որոնք, երբ զոհի համակարգչում են, գաղտնագրում են օգտվողի ֆայլերը, խաթարում են օպերացիոն համակարգի բնականոն բեռնման գործընթացը և օգտատիրոջը տեղեկացնում, որ նա պետք է վճարի հարձակվողներին՝ այն վերծանելու համար:
Ծրագիրը գործարկելուց հետո այն համակարգչում որոնում է օգտվողի ֆայլերը և գաղտնագրում դրանք: Նրանք կատարում են որոնումներ՝ օգտագործելով ստանդարտ API ֆունկցիաները, որոնց օգտագործման օրինակները հեշտությամբ կարելի է գտնել MSDN-ում .
Նկ.1 Օգտագործողի ֆայլերի որոնում
Որոշ ժամանակ անց նրանք վերագործարկում են համակարգիչը և ցուցադրում են նմանատիպ հաղորդագրություն համակարգչի արգելափակման մասին:
Նկ.2 Արգելափակման հաղորդագրություն
Օպերացիոն համակարգի բեռնման գործընթացը խափանելու համար փրկագին օգտագործում է բեռնման գրառումը (MBR) փոփոխելու պարզ տեխնիկա: օգտագործելով Windows API:
Նկ.3 Բեռնման ռեկորդի փոփոխություն
Համակարգչից դուրս հանելու այս մեթոդն օգտագործվում է բազմաթիվ այլ փրկագինների կողմից՝ SmartRansom, Maze, ONI Ransomware, Bioskits, MBRlock Ransomware, HDDCryptor Ransomware, RedBoot, UselessDisk: MBR-ի վերագրանցման իրականացումը հասանելի է լայն հանրությանը՝ առցանց MBR Locker-ի նման ծրագրերի կոդերի տեսքով: Սա հաստատելով GitHub-ում Visual Studio-ի համար կարող եք գտնել վիթխարի քանակությամբ շտեմարաններ՝ սկզբնական կոդով կամ պատրաստի նախագծերով:
Այս կոդը կազմելով GitHub-ից , արդյունքը մի ծրագիր է, որն անջատում է օգտատիրոջ համակարգիչը մի քանի վայրկյանում։ Եվ դրա հավաքման համար պահանջվում է մոտ հինգ կամ տասը րոպե:
Պարզվում է, որ չարամիտ ծրագրեր հավաքելու համար պետք չէ ունենալ մեծ հմտություններ կամ ռեսուրսներ, դա կարող է անել ցանկացածը, ցանկացած վայրում: Կոդն ազատորեն հասանելի է ինտերնետում և հեշտությամբ կարող է վերարտադրվել նմանատիպ ծրագրերում: Սա ինձ ստիպում է մտածել. Սա լուրջ խնդիր է, որը պահանջում է միջամտություն և որոշակի միջոցների ձեռնարկում։
Source: www.habr.com