Dengan latar belakang pandemi virus corona, ada perasaan bahwa epidemi digital berskala besar juga terjadi bersamaan dengan pandemi ini. . Laju pertumbuhan jumlah situs phishing, spam, sumber daya palsu, malware, dan aktivitas jahat serupa menimbulkan kekhawatiran serius. Skala pelanggaran hukum yang sedang berlangsung ditunjukkan oleh berita bahwa “para pemeras berjanji tidak akan menyerang institusi medis” . Ya, benar: pihak-pihak yang melindungi kehidupan dan kesehatan masyarakat selama pandemi juga rentan terhadap serangan malware, seperti yang terjadi di Republik Ceko, di mana ransomware CoViper mengganggu pekerjaan beberapa rumah sakit. .
Ada keinginan untuk memahami apa itu ransomware yang mengeksploitasi tema virus corona dan mengapa mereka muncul begitu cepat. Sampel malware ditemukan di jaringan - CoViper dan CoronaVirus, yang menyerang banyak komputer, termasuk di rumah sakit umum dan pusat kesehatan.
Kedua file yang dapat dieksekusi ini dalam format Portable Executable, yang menunjukkan bahwa keduanya ditujukan untuk Windows. Mereka juga dikompilasi untuk x86. Patut dicatat bahwa mereka sangat mirip satu sama lain, hanya CoViper yang ditulis dalam Delphi, terbukti dengan tanggal kompilasi 19 Juni 1992 dan nama bagian, serta CoronaVirus dalam C. Keduanya merupakan perwakilan dari encryptor.
Ransomware atau ransomware adalah program yang, ketika berada di komputer korban, mengenkripsi file pengguna, mengganggu proses boot normal sistem operasi, dan memberi tahu pengguna bahwa ia harus membayar penyerang untuk mendekripsinya.
Setelah meluncurkan program, ia mencari file pengguna di komputer dan mengenkripsinya. Mereka melakukan pencarian menggunakan fungsi API standar, contoh penggunaannya dapat dengan mudah ditemukan di MSDN .
Gbr.1 Mencari file pengguna
Setelah beberapa saat, mereka me-restart komputer dan menampilkan pesan serupa tentang komputer yang diblokir.
Gbr.2 Memblokir pesan
Untuk mengganggu proses boot sistem operasi, ransomware menggunakan teknik sederhana dengan memodifikasi boot record (MBR) menggunakan Windows API.
Gbr.3 Modifikasi catatan boot
Metode eksfiltrasi komputer ini digunakan oleh banyak ransomware lainnya: SmartRansom, Maze, ONI Ransomware, Bioskits, MBRlock Ransomware, HDDCryptor Ransomware, RedBoot, UselessDisk. Implementasi penulisan ulang MBR tersedia untuk masyarakat umum dengan munculnya kode sumber untuk program seperti MBR Locker online. Mengonfirmasi ini di GitHub Anda dapat menemukan sejumlah besar repositori dengan kode sumber atau proyek siap pakai untuk Visual Studio.
Kompilasi kode ini dari GitHub , hasilnya adalah program yang menonaktifkan komputer pengguna dalam beberapa detik. Dan dibutuhkan sekitar lima atau sepuluh menit untuk merakitnya.
Ternyata untuk merakit malware berbahaya Anda tidak perlu memiliki keterampilan atau sumber daya yang hebat; siapa pun, di mana pun bisa melakukannya. Kode ini tersedia secara bebas di Internet dan dapat dengan mudah direproduksi di program serupa. Ini membuatku berpikir. Ini adalah masalah serius yang memerlukan intervensi dan tindakan tertentu.
Sumber: www.habr.com