Dengan latar belakang pandemi virus corona, ada perasaan bahwa epidemi digital berskala besar juga terjadi bersamaan dengan pandemi ini.
Kedua file yang dapat dieksekusi ini dalam format Portable Executable, yang menunjukkan bahwa keduanya ditujukan untuk Windows. Mereka juga dikompilasi untuk x86. Patut dicatat bahwa mereka sangat mirip satu sama lain, hanya CoViper yang ditulis dalam Delphi, terbukti dengan tanggal kompilasi 19 Juni 1992 dan nama bagian, serta CoronaVirus dalam C. Keduanya merupakan perwakilan dari encryptor.
Ransomware atau ransomware adalah program yang, ketika berada di komputer korban, mengenkripsi file pengguna, mengganggu proses boot normal sistem operasi, dan memberi tahu pengguna bahwa ia harus membayar penyerang untuk mendekripsinya.
Setelah meluncurkan program, ia mencari file pengguna di komputer dan mengenkripsinya. Mereka melakukan pencarian menggunakan fungsi API standar, contoh penggunaannya dapat dengan mudah ditemukan di MSDN
Gbr.1 Mencari file pengguna
Setelah beberapa saat, mereka me-restart komputer dan menampilkan pesan serupa tentang komputer yang diblokir.
Gbr.2 Memblokir pesan
Untuk mengganggu proses boot sistem operasi, ransomware menggunakan teknik sederhana dengan memodifikasi boot record (MBR)
Gbr.3 Modifikasi catatan boot
Metode eksfiltrasi komputer ini digunakan oleh banyak ransomware lainnya: SmartRansom, Maze, ONI Ransomware, Bioskits, MBRlock Ransomware, HDDCryptor Ransomware, RedBoot, UselessDisk. Implementasi penulisan ulang MBR tersedia untuk masyarakat umum dengan munculnya kode sumber untuk program seperti MBR Locker online. Mengonfirmasi ini di GitHub
Kompilasi kode ini dari GitHub
Ternyata untuk merakit malware berbahaya Anda tidak perlu memiliki keterampilan atau sumber daya yang hebat; siapa pun, di mana pun bisa melakukannya. Kode ini tersedia secara bebas di Internet dan dapat dengan mudah direproduksi di program serupa. Ini membuatku berpikir. Ini adalah masalah serius yang memerlukan intervensi dan tindakan tertentu.
Sumber: www.habr.com