コロナウイルスのパンデミックを背景に、同様に大規模なデジタル伝染病が並行して発生しているとの感慨がある。
これらの実行可能ファイルは両方とも、Portable Executable 形式であるため、Windows を対象としていることがわかります。 これらは x86 用にもコンパイルされています。 注目すべき点は、これらが互いに非常に似ていることです。19 年 1992 月 XNUMX 日のコンパイル日とセクション名からわかるように、CoViper だけが Delphi で書かれており、CoronaVirus は C で書かれています。どちらも暗号化プログラムの代表です。
ランサムウェアまたはランサムウェアは、被害者のコンピュータに侵入すると、ユーザー ファイルを暗号化し、オペレーティング システムの通常の起動プロセスを妨害し、復号するには攻撃者にお金を支払う必要があることをユーザーに通知するプログラムです。
プログラムを起動すると、コンピューター上のユーザー ファイルが検索され、暗号化されます。 標準 API 関数を使用して検索を実行します。その使用例は MSDN で簡単に見つけることができます。
図1 ユーザーファイルの検索
しばらくすると、コンピュータが再起動され、コンピュータがブロックされているという同様のメッセージが表示されます。
図2 ブロックメッセージ
オペレーティング システムの起動プロセスを中断するために、ランサムウェアはブート レコード (MBR) を変更するという単純な手法を使用します。
図3 ブートレコードの変更
コンピュータを窃取するこの方法は、SmartRansom、Maze、ONI Ransomware、Bioskits、MBRlock Ransomware、HDDCryptor Ransomware、RedBoot、UselessDisk など、他の多くのランサムウェアで使用されています。 MBR 書き換えの実装は、MBR Locker などのプログラムのソース コードがオンラインで公開され、一般に公開されています。 GitHub でこれを確認する
GitHub からこのコードをコンパイルする
悪意のあるマルウェアを組み立てるには、優れたスキルやリソースは必要なく、誰でも、どこでも、組み立てることができることがわかりました。 コードはインターネット上で無料で入手でき、同様のプログラムで簡単に再現できます。 これは考えさせられます。 これは深刻な問題であり、介入と特定の措置を講じる必要があります。
出所: habr.com