Коронавирустық індеттің фонында онымен қатар ауқымды цифрлық эпидемия да басталды деген пікір бар.
Бұл орындалатын файлдардың екеуі де Portable Executable пішімінде, бұл олардың Windows жүйесіне бағытталғанын көрсетеді. Олар сонымен қатар x86 үшін құрастырылған. Бір қызығы, олар бір-біріне өте ұқсас, тек CoViper Delphi-де жазылған, оны 19 жылғы 1992 маусымдағы құрастыру күні және бөлім атаулары, ал C тіліндегі CoronaVirus. Екеуі де шифрлаушылардың өкілдері болып табылады.
Ransomware немесе ransomware - жәбірленушінің компьютерінде пайдаланушы файлдарын шифрлайтын, операциялық жүйенің қалыпты жүктелу процесін бұзатын және пайдаланушыға оның шифрын ашу үшін шабуылдаушыларға төлеу керек екенін хабарлайтын бағдарламалар.
Бағдарламаны іске қосқаннан кейін ол компьютердегі пайдаланушы файлдарын іздейді және оларды шифрлайды. Олар стандартты API функцияларын пайдаланып іздеуді орындайды, олардың мысалдарын MSDN сайтында оңай табуға болады
Сурет 1 Пайдаланушы файлдарын іздеу
Біраз уақыттан кейін олар компьютерді қайта іске қосып, блокталған компьютер туралы ұқсас хабарды көрсетеді.
2-сурет Блоктау туралы хабарлама
Операциялық жүйенің жүктелу процесін бұзу үшін ransomware жүктеу жазбасын (MBR) өзгертудің қарапайым әдісін пайдаланады.
Сурет.3 Жүктеу жазбасының модификациясы
Компьютерді эксфильтрациялаудың бұл әдісін көптеген басқа төлем бағдарламалары пайдаланады: SmartRansom, Maze, ONI Ransomware, Bioskits, MBRlock Ransomware, HDDCryptor Ransomware, RedBoot, UselessDisk. MBR қайта жазуды іске асыру MBR Locker онлайн сияқты бағдарламалардың бастапқы кодтарының пайда болуымен көпшілікке қолжетімді. Мұны GitHub сайтында растау
Бұл кодты GitHub сайтынан құрастыру
Зиянды зиянды бағдарламаларды жинау үшін сізге үлкен дағдылар немесе ресурстар қажет емес, оны кез келген адам, кез келген жерде жасай алады. Код Интернетте еркін қол жетімді және оны ұқсас бағдарламаларда оңай шығаруға болады. Бұл мені ойландырады. Бұл араласуды және белгілі бір шараларды қабылдауды талап ететін күрделі мәселе.
Ақпарат көзі: www.habr.com