Ing latar mburi pandemik koronavirus, ana perasaan manawa epidemi digital skala gedhe wis padha karo. . Tingkat wutah ing jumlah situs phishing, spam, sumber daya penipuan, malware lan kegiatan angkoro sing padha nyebabake masalah serius. Skala pelanggaran hukum sing terus-terusan dituduhake dening kabar yen "para pemeras janji ora bakal nyerang institusi medis" . Ya, bener: sing nglindhungi nyawa lan kesehatan wong sajrone pandemi uga kena serangan malware, kaya sing kedadeyan ing Republik Ceko, ing ngendi tebusan CoViper ngganggu karya sawetara rumah sakit. .
Ana kepinginan kanggo ngerti apa ransomware sing ngeksploitasi tema koronavirus lan kenapa katon cepet banget. Sampel malware ditemokake ing jaringan - CoViper lan CoronaVirus, sing nyerang akeh komputer, kalebu ing rumah sakit umum lan pusat medis.
Loro-lorone file sing bisa dieksekusi iki ana ing format sing bisa dieksekusi Portabel, sing nuduhake yen ditujokake menyang Windows. Dheweke uga dikompilasi kanggo x86. Wigati dimangerteni manawa padha banget karo siji liyane, mung CoViper sing ditulis ing Delphi, minangka bukti tanggal kompilasi 19 Juni 1992 lan jeneng bagean, lan CoronaVirus ing C. Loro-lorone minangka wakil saka enkripsi.
Ransomware utawa ransomware yaiku program sing, yen ana ing komputer korban, ngenkripsi file pangguna, ngganggu proses boot normal sistem operasi, lan ngandhani pangguna yen dheweke kudu mbayar panyerang kanggo dekripsi.
Sawise diluncurake program kasebut, nelusuri file pangguna ing komputer lan ndhelik. Dheweke nindakake telusuran nggunakake fungsi API standar, conto panggunaan sing bisa ditemokake kanthi gampang ing MSDN .
Fig.1 Telusuri file pangguna
Sawise sawetara wektu, dheweke miwiti maneh komputer lan nampilake pesen sing padha babagan komputer sing diblokir.
Fig.2 Pesen pamblokiran
Kanggo ngganggu proses boot sistem operasi, ransomware nggunakake teknik prasaja kanggo ngowahi rekaman boot (MBR). nggunakake Windows API.
Fig.3 Modifikasi saka rekaman boot
Cara exfiltrating komputer iki digunakake dening akeh ransomware liyane: SmartRansom, Maze, ONI Ransomware, Bioskits, MBRlock Ransomware, HDDCryptor Ransomware, RedBoot, UselessDisk. Implementasine nulis ulang MBR kasedhiya kanggo masyarakat umum kanthi tampilan kode sumber kanggo program kayata MBR Locker online. Konfirmasi iki ing GitHub sampeyan bisa nemokake akeh repositori kanthi kode sumber utawa proyek siap kanggo Visual Studio.
Kompilasi kode iki saka GitHub , asil program sing mateni komputer pangguna ing sawetara detik. Lan butuh limang utawa sepuluh menit kanggo ngumpulake.
Pranyata manawa kanggo ngumpulake malware angkoro sampeyan ora perlu duwe katrampilan utawa sumber daya sing gedhe; sapa wae, ing endi wae bisa nindakake. Kode kasebut kasedhiya kanthi bebas ing Internet lan bisa gampang direproduksi ing program sing padha. Iki nggawe aku mikir. Iki minangka masalah serius sing mbutuhake intervensi lan njupuk langkah-langkah tartamtu.
Source: www.habr.com