コロナウイルスのパンデミックを背景に、同様に大規模なデジタル伝染病が並行して発生しているとの感慨がある。 。 フィッシング サイト、スパム、詐欺的リソース、マルウェア、および同様の悪意のある活動の数の増加率は、深刻な懸念を引き起こしています。 進行中の不法行為の規模は、「恐喝者は医療機関を攻撃しないと約束する」というニュースによって示されています。 。 はい、その通りです。CoViper ランサムウェアによりいくつかの病院の業務が中断されたチェコ共和国の場合と同様、パンデミック中に人々の命と健康を守る人々もマルウェア攻撃の対象となります。 .
コロナウイルスを悪用するランサムウェアとは何なのか、またなぜこれほど急速に出現しているのかを理解したいという要望があります。 ネットワーク上でマルウェアのサンプルが発見されました。CoViper とCoronaVirus は、公立病院や医療センターを含む多くのコンピューターを攻撃しました。
これらの実行可能ファイルは両方とも、Portable Executable 形式であるため、Windows を対象としていることがわかります。 これらは x86 用にもコンパイルされています。 注目すべき点は、これらが互いに非常に似ていることです。19 年 1992 月 XNUMX 日のコンパイル日とセクション名からわかるように、CoViper だけが Delphi で書かれており、CoronaVirus は C で書かれています。どちらも暗号化プログラムの代表です。
ランサムウェアまたはランサムウェアは、被害者のコンピュータに侵入すると、ユーザー ファイルを暗号化し、オペレーティング システムの通常の起動プロセスを妨害し、復号するには攻撃者にお金を支払う必要があることをユーザーに通知するプログラムです。
プログラムを起動すると、コンピューター上のユーザー ファイルが検索され、暗号化されます。 標準 API 関数を使用して検索を実行します。その使用例は MSDN で簡単に見つけることができます。 .
図1 ユーザーファイルの検索
しばらくすると、コンピュータが再起動され、コンピュータがブロックされているという同様のメッセージが表示されます。
図2 ブロックメッセージ
オペレーティング システムの起動プロセスを中断するために、ランサムウェアはブート レコード (MBR) を変更するという単純な手法を使用します。 Windows APIを使用します。
図3 ブートレコードの変更
コンピュータを窃取するこの方法は、SmartRansom、Maze、ONI Ransomware、Bioskits、MBRlock Ransomware、HDDCryptor Ransomware、RedBoot、UselessDisk など、他の多くのランサムウェアで使用されています。 MBR 書き換えの実装は、MBR Locker などのプログラムのソース コードがオンラインで公開され、一般に公開されています。 GitHub でこれを確認する Visual Studio のソース コードや既製のプロジェクトを含む膨大な数のリポジトリを見つけることができます。
GitHub からこのコードをコンパイルする 、その結果、ユーザーのコンピュータを数秒で無効にするプログラムが作成されます。 組み立てにはXNUMX分かXNUMX分ほどかかります。
悪意のあるマルウェアを組み立てるには、優れたスキルやリソースは必要なく、誰でも、どこでも、組み立てることができることがわかりました。 コードはインターネット上で無料で入手でき、同様のプログラムで簡単に再現できます。 これは考えさせられます。 これは深刻な問題であり、介入と特定の措置を講じる必要があります。
出所: habr.com