디지털 전염병: 코로나바이러스 대 CoViper

코로나바이러스 팬데믹을 배경으로, 그에 맞춰 대규모 디지털 전염병도 발생했다는 느낌이 듭니다. [1]. 피싱 사이트, 스팸, 사기성 리소스, 맬웨어 및 이와 유사한 악성 활동의 증가율은 심각한 우려를 불러일으킵니다. 계속되는 불법 행위의 규모는 “강탈범들이 의료기관을 공격하지 않겠다고 약속한다”는 뉴스에서 알 수 있다. [2]. 예, 그렇습니다. 팬데믹 기간 동안 사람들의 생명과 건강을 보호하는 사람들도 맬웨어 공격의 대상이 됩니다. CoViper 랜섬웨어가 여러 병원의 업무를 방해한 체코 공화국의 경우와 같습니다. [3].
코로나바이러스를 주제로 한 랜섬웨어가 무엇인지, 왜 그렇게 빨리 나타나는지 이해하고 싶은 욕구가 있습니다. 공립 병원과 의료 센터를 포함한 많은 컴퓨터를 공격하는 CoViper 및 CoronaVirus와 같은 악성 코드 샘플이 네트워크에서 발견되었습니다.
이 두 실행 파일은 모두 Portable Executable 형식으로, 이는 Windows를 대상으로 한다는 것을 의미합니다. 또한 x86용으로 컴파일되었습니다. 19년 1992월 XNUMX일의 편집 날짜와 섹션 이름 및 C의 CoronaVirus에서 알 수 있듯이 CoViper만 Delphi로 작성되었으며 C의 CoronaVirus는 서로 매우 유사하다는 점은 주목할 만합니다. 둘 다 암호 작성자를 대표합니다.
랜섬웨어 또는 랜섬웨어는 피해자의 컴퓨터에 일단 저장되면 사용자 파일을 암호화하고 운영 체제의 정상적인 부팅 프로세스를 방해하며 이를 해독하려면 공격자에게 비용을 지불해야 한다고 사용자에게 알리는 프로그램입니다.
프로그램을 실행한 후 컴퓨터에서 사용자 파일을 검색하고 암호화합니다. 표준 API 기능을 사용하여 검색을 수행하며, 사용 예는 MSDN에서 쉽게 찾을 수 있습니다. [4].

그림 1. 사용자 파일 검색

잠시 후 컴퓨터를 다시 시작하고 컴퓨터가 차단되었다는 유사한 메시지를 표시합니다.

그림 2 차단 메시지

운영 체제의 부팅 프로세스를 방해하기 위해 랜섬웨어는 부팅 레코드(MBR)를 수정하는 간단한 기술을 사용합니다. [5] Windows API를 사용합니다.

그림 3 부트 레코드 수정

컴퓨터를 추출하는 이 방법은 SmartRansom, Maze, ONI Ransomware, Bioskits, MBRlock Ransomware, HDDCryptor Ransomware, RedBoot, UselessDisk 등 다양한 랜섬웨어에서 사용됩니다. MBR 재작성 구현은 MBR Locker 온라인과 같은 프로그램의 소스 코드가 공개되면서 일반 대중이 이용할 수 있습니다. GitHub에서 확인 [6] 소스 코드가 포함된 수많은 리포지토리나 Visual Studio용 기성 프로젝트를 찾을 수 있습니다.
GitHub에서 이 코드 컴파일하기 [7], 결과는 몇 초 안에 사용자의 컴퓨터를 비활성화하는 프로그램입니다. 그리고 조립하는데 XNUMX~XNUMX분정도 소요됩니다.
악성 악성 코드를 조립하는 데에는 뛰어난 기술이나 리소스가 필요하지 않으며 누구나 어디서나 할 수 있는 것으로 나타났습니다. 이 코드는 인터넷에서 무료로 사용할 수 있으며 유사한 프로그램에서 쉽게 재현할 수 있습니다. 이것은 나를 생각하게 만든다. 이는 개입과 특정 조치가 필요한 심각한 문제입니다.

출처 : habr.com