Ing latar mburi pandemik koronavirus, ana perasaan manawa epidemi digital skala gedhe wis padha karo.
Loro-lorone file sing bisa dieksekusi iki ana ing format sing bisa dieksekusi Portabel, sing nuduhake yen ditujokake menyang Windows. Dheweke uga dikompilasi kanggo x86. Wigati dimangerteni manawa padha banget karo siji liyane, mung CoViper sing ditulis ing Delphi, minangka bukti tanggal kompilasi 19 Juni 1992 lan jeneng bagean, lan CoronaVirus ing C. Loro-lorone minangka wakil saka enkripsi.
Ransomware utawa ransomware yaiku program sing, yen ana ing komputer korban, ngenkripsi file pangguna, ngganggu proses boot normal sistem operasi, lan ngandhani pangguna yen dheweke kudu mbayar panyerang kanggo dekripsi.
Sawise diluncurake program kasebut, nelusuri file pangguna ing komputer lan ndhelik. Dheweke nindakake telusuran nggunakake fungsi API standar, conto panggunaan sing bisa ditemokake kanthi gampang ing MSDN
Fig.1 Telusuri file pangguna
Sawise sawetara wektu, dheweke miwiti maneh komputer lan nampilake pesen sing padha babagan komputer sing diblokir.
Fig.2 Pesen pamblokiran
Kanggo ngganggu proses boot sistem operasi, ransomware nggunakake teknik prasaja kanggo ngowahi rekaman boot (MBR).
Fig.3 Modifikasi saka rekaman boot
Cara exfiltrating komputer iki digunakake dening akeh ransomware liyane: SmartRansom, Maze, ONI Ransomware, Bioskits, MBRlock Ransomware, HDDCryptor Ransomware, RedBoot, UselessDisk. Implementasine nulis ulang MBR kasedhiya kanggo masyarakat umum kanthi tampilan kode sumber kanggo program kayata MBR Locker online. Konfirmasi iki ing GitHub
Kompilasi kode iki saka GitHub
Pranyata manawa kanggo ngumpulake malware angkoro sampeyan ora perlu duwe katrampilan utawa sumber daya sing gedhe; sapa wae, ing endi wae bisa nindakake. Kode kasebut kasedhiya kanthi bebas ing Internet lan bisa gampang direproduksi ing program sing padha. Iki nggawe aku mikir. Iki minangka masalah serius sing mbutuhake intervensi lan njupuk langkah-langkah tartamtu.
Source: www.habr.com