Коронавирустық індеттің фонында онымен қатар ауқымды цифрлық эпидемия да басталды деген пікір бар. . Фишинг сайттары, спам, алаяқтық ресурстар, зиянды бағдарламалар және ұқсас зиянды әрекеттер санының өсу қарқыны елеулі алаңдаушылық тудырады. «Бопсалаушылардың медициналық мекемелерге шабуыл жасамауға уәде беруі» деген жаңалық жалғасып жатқан заңсыздықтың ауқымын көрсетеді. . Иә, бұл дұрыс: пандемия кезінде адамдардың өмірі мен денсаулығын қорғайтындар да CoViper төлем бағдарламасы бірнеше ауруханалардың жұмысын бұзған Чехиядағыдай зиянды бағдарлама шабуылдарына ұшырайды. .
Коронавирус тақырыбын пайдаланатын төлемдік бағдарламаның не екенін және олардың неліктен тез пайда болатынын түсінгісі келеді. Желіде зиянды бағдарлама үлгілері табылды - CoViper және CoronaVirus, олар көптеген компьютерлерге, соның ішінде мемлекеттік ауруханалар мен медициналық орталықтарға шабуыл жасады.
Бұл орындалатын файлдардың екеуі де Portable Executable пішімінде, бұл олардың Windows жүйесіне бағытталғанын көрсетеді. Олар сонымен қатар x86 үшін құрастырылған. Бір қызығы, олар бір-біріне өте ұқсас, тек CoViper Delphi-де жазылған, оны 19 жылғы 1992 маусымдағы құрастыру күні және бөлім атаулары, ал C тіліндегі CoronaVirus. Екеуі де шифрлаушылардың өкілдері болып табылады.
Ransomware немесе ransomware - жәбірленушінің компьютерінде пайдаланушы файлдарын шифрлайтын, операциялық жүйенің қалыпты жүктелу процесін бұзатын және пайдаланушыға оның шифрын ашу үшін шабуылдаушыларға төлеу керек екенін хабарлайтын бағдарламалар.
Бағдарламаны іске қосқаннан кейін ол компьютердегі пайдаланушы файлдарын іздейді және оларды шифрлайды. Олар стандартты API функцияларын пайдаланып іздеуді орындайды, олардың мысалдарын MSDN сайтында оңай табуға болады .
Сурет 1 Пайдаланушы файлдарын іздеу
Біраз уақыттан кейін олар компьютерді қайта іске қосып, блокталған компьютер туралы ұқсас хабарды көрсетеді.
2-сурет Блоктау туралы хабарлама
Операциялық жүйенің жүктелу процесін бұзу үшін ransomware жүктеу жазбасын (MBR) өзгертудің қарапайым әдісін пайдаланады. Windows API арқылы.
Сурет.3 Жүктеу жазбасының модификациясы
Компьютерді эксфильтрациялаудың бұл әдісін көптеген басқа төлем бағдарламалары пайдаланады: SmartRansom, Maze, ONI Ransomware, Bioskits, MBRlock Ransomware, HDDCryptor Ransomware, RedBoot, UselessDisk. MBR қайта жазуды іске асыру MBR Locker онлайн сияқты бағдарламалардың бастапқы кодтарының пайда болуымен көпшілікке қолжетімді. Мұны GitHub сайтында растау бастапқы коды немесе Visual Studio үшін дайын жобалары бар репозиторийлердің үлкен санын таба аласыз.
Бұл кодты GitHub сайтынан құрастыру , нәтиже бірнеше секунд ішінде пайдаланушының компьютерін өшіретін бағдарлама. Ал оны құрастыруға бес-он минуттай уақыт кетеді.
Зиянды зиянды бағдарламаларды жинау үшін сізге үлкен дағдылар немесе ресурстар қажет емес, оны кез келген адам, кез келген жерде жасай алады. Код Интернетте еркін қол жетімді және оны ұқсас бағдарламаларда оңай шығаруға болады. Бұл мені ойландырады. Бұл араласуды және белгілі бір шараларды қабылдауды талап ететін күрделі мәселе.
Ақпарат көзі: www.habr.com