Li dijî paşxaneya pandemiya coronavirus, hestek heye ku bi heman rengî serpêhatiyek dîjîtal a pir mezin bi wê re paralel derketiye. . Rêjeya mezinbûna hejmara malperên phishing, spam, çavkaniyên xapînok, malware û çalakiyên xirab ên mîna wan fikarên cidî zêde dike. Mezinahiya bêhiqûqiya ku berdewam dike bi nûçeyên ku "Xercdar soz didin ku êrîşî saziyên tenduristiyê nekin" nîşan dide. . Erê, rast e: yên ku di dema pandemiyê de jiyan û tenduristiya mirovan diparêzin di heman demê de rastî êrîşên malware jî tên, wek ku li Komara Çek bû, ku ransomware CoViper karê gelek nexweşxaneyan xera kir. .
Xwestiyek heye ku meriv fêm bike ka ransomware ku mijara coronavirus bikar tîne çi ye û çima ew ewqas zû xuya dikin. Nimûneyên malware li ser torê hatin dîtin - CoViper û CoronaVirus, ku êrîşî gelek komputeran kir, di nav de li nexweşxaneyên giştî û navendên bijîjkî.
Van her du pelên darvekirî di formata Portable Executable de ne, ku pêşniyar dike ku ew li Windows-ê têne armanc kirin. Ew ji bo x86 jî têne berhev kirin. Hêjayî gotinê ye ku ew pir dişibin hev, tenê CoViper di Delphi de hatî nivîsandin, wekî ku dîroka berhevkirinê ya 19ê Hezîrana 1992-an û navên beşan diyar dike, û CoronaVirus di C de. Her du jî nûnerên şîfrekeran in.
Ransomware an ransomware bername ne ku, carekê li ser komputera mexdûr, pelên bikarhêner şîfre dikin, pêvajoya bootkirina normal a pergala xebitandinê dişkînin, û bikarhêner agahdar dikin ku ew hewce dike ku pere bide êrîşkaran da ku wê deşîfre bike.
Piştî destpêkirina bernameyê, ew li pelên bikarhêner li ser komputerê digere û wan şîfre dike. Ew lêgerînan bi karanîna fonksiyonên API-ya standard pêk tînin, mînakên karanîna wan bi hêsanî li MSDN-ê têne dîtin .
Fig.1 Li pelên bikarhêneran bigerin
Piştî demekê, ew komputerê ji nû ve dest pê dikin û peyamek bi heman rengî li ser komputera ku tê asteng kirin nîşan didin.
Fig.2 Astengkirina peyamê
Ji bo astengkirina pêvajoya bootê ya pergala xebitandinê, ransomware teknîkek hêsan a guheztina tomara bootê (MBR) bikar tîne. bikaranîna Windows API.
Fig.3 Guhertina qeyda bootê
Ev rêbaza derxistina komputerê ji hêla gelek ransomwareyên din ve tê bikar anîn: SmartRansom, Maze, ONI Ransomware, Bioskits, MBRlock Ransomware, HDDCryptor Ransomware, RedBoot, UselessDisk. Pêkanîna ji nû ve nivîsandina MBR bi xuyangkirina kodên çavkaniyê ji bo bernameyên wekî MBR Locker serhêl ji raya giştî re peyda dibe. Piştrastkirina vê yekê li ser GitHub hûn dikarin ji bo Visual Studio hejmareke mezin depoyên bi koda çavkaniyê an projeyên amade bibînin.
Berhevkirina vê kodê ji GitHub , encam bernameyek e ku di çend saniyeyan de komputera bikarhêner asteng dike. Û ji bo komkirina wê nêzîkî pênc an deh deqîqeyan digire.
Derket holê ku ji bo berhevkirina malwareya xerab hûn ne hewce ne ku hûn xwediyê jêhatîbûn an çavkaniyên mezin bin; her kes, li her deverê dikare wiya bike. Kod bi serbestî li ser Înternetê heye û bi hêsanî dikare di bernameyên wekhev de were hilberandin. Ev min dike ku bifikirim. Ev pirsgirêkek cidî ye ku pêdivî bi destwerdan û girtina hin tedbîran heye.
Source: www.habr.com