Li dijî paşxaneya pandemiya coronavirus, hestek heye ku bi heman rengî serpêhatiyek dîjîtal a pir mezin bi wê re paralel derketiye.
Van her du pelên darvekirî di formata Portable Executable de ne, ku pêşniyar dike ku ew li Windows-ê têne armanc kirin. Ew ji bo x86 jî têne berhev kirin. Hêjayî gotinê ye ku ew pir dişibin hev, tenê CoViper di Delphi de hatî nivîsandin, wekî ku dîroka berhevkirinê ya 19ê Hezîrana 1992-an û navên beşan diyar dike, û CoronaVirus di C de. Her du jî nûnerên şîfrekeran in.
Ransomware an ransomware bername ne ku, carekê li ser komputera mexdûr, pelên bikarhêner şîfre dikin, pêvajoya bootkirina normal a pergala xebitandinê dişkînin, û bikarhêner agahdar dikin ku ew hewce dike ku pere bide êrîşkaran da ku wê deşîfre bike.
Piştî destpêkirina bernameyê, ew li pelên bikarhêner li ser komputerê digere û wan şîfre dike. Ew lêgerînan bi karanîna fonksiyonên API-ya standard pêk tînin, mînakên karanîna wan bi hêsanî li MSDN-ê têne dîtin
Fig.1 Li pelên bikarhêneran bigerin
Piştî demekê, ew komputerê ji nû ve dest pê dikin û peyamek bi heman rengî li ser komputera ku tê asteng kirin nîşan didin.
Fig.2 Astengkirina peyamê
Ji bo astengkirina pêvajoya bootê ya pergala xebitandinê, ransomware teknîkek hêsan a guheztina tomara bootê (MBR) bikar tîne.
Fig.3 Guhertina qeyda bootê
Ev rêbaza derxistina komputerê ji hêla gelek ransomwareyên din ve tê bikar anîn: SmartRansom, Maze, ONI Ransomware, Bioskits, MBRlock Ransomware, HDDCryptor Ransomware, RedBoot, UselessDisk. Pêkanîna ji nû ve nivîsandina MBR bi xuyangkirina kodên çavkaniyê ji bo bernameyên wekî MBR Locker serhêl ji raya giştî re peyda dibe. Piştrastkirina vê yekê li ser GitHub
Berhevkirina vê kodê ji GitHub
Derket holê ku ji bo berhevkirina malwareya xerab hûn ne hewce ne ku hûn xwediyê jêhatîbûn an çavkaniyên mezin bin; her kes, li her deverê dikare wiya bike. Kod bi serbestî li ser Înternetê heye û bi hêsanî dikare di bernameyên wekhev de were hilberandin. Ev min dike ku bifikirim. Ev pirsgirêkek cidî ye ku pêdivî bi destwerdan û girtina hin tedbîran heye.
Source: www.habr.com