Коронавирустук пандемиянын фонунда аны менен катар эле масштабдуу санариптик эпидемия да жаралды деген сезим бар. . Фишинг сайттарынын, спамдардын, алдамчылык ресурстардын, кесепеттүү программалардын жана ушул сыяктуу зыяндуу аракеттердин санынын өсүү темпи олуттуу кооптонууну жаратат. «Опузалап акча талап кылгандар медициналык мекемелерге кол салбайбыз деп убада берип жатышат» деген маалымат уланып жаткан мыйзамсыздыктын масштабын көрсөтүүдө. . Ооба, бул туура: пандемия учурунда адамдардын өмүрүн жана ден соолугун коргогондор да кесепеттүү программалык чабуулдарга дуушар болушат, CoViper ransomware бир нече ооруканалардын ишин үзгүлтүккө учураткан Чехиядагыдай. .
Коронавирус темасын пайдаланган ransomware эмне экенин жана эмне үчүн алар мынчалык тез пайда болуп жатканын түшүнүүнү каалашат. Тармактан кесепеттүү программанын үлгүлөрү табылган - CoViper жана CoronaVirus, алар көптөгөн компьютерлерге, анын ичинде мамлекеттик ооруканалар менен медициналык борборлорго чабуул койгон.
Бул аткарылуучу файлдардын экөө тең Portable Executable форматында, бул алардын Windows үчүн багытталгандыгын көрсөтүп турат. Алар ошондой эле x86 үчүн түзүлгөн. Белгилей кетчү нерсе, алар бири-бирине абдан окшош, CoViper гана Delphiде жазылган, муну 19-жылдын 1992-июнундагы компиляция датасы жана бөлүмдөрдүн аталыштары, ал эми C тилиндеги CoronaVirus. Экөө тең шифрлөөчүлөрдүн өкүлдөрү.
Ransomware же ransomware - бул жабырлануучунун компьютеринде колдонуучунун файлдарын шифрлеген, операциялык системанын кадимки жүктөө процессин бузган жана колдонуучуга анын шифрин чечиш үчүн чабуулчуларга акча төлөшү керектигин билдирген программалар.
Программаны ишке киргизгенден кийин, ал компьютерден колдонуучу файлдарын издеп, аларды шифрлейт. Алар стандарттык API функцияларын колдонуу менен издөөлөрдү жүргүзүшөт, алардын мисалдарын MSDNден оңой табууга болот .
Fig.1 Колдонуучу файлдарын издөө
Бир аз убакыт өткөндөн кийин, алар компьютерди өчүрүп-күйгүзүшөт жана блоктолгон компьютер жөнүндө ушундай билдирүүнү көрсөтөт.
Fig.2 Бөгөттөө билдирүүсү
Операциялык системанын жүктөө процессин үзгүлтүккө учуратуу үчүн ransomware жүктөө жазуусун (MBR) өзгөртүүнүн жөнөкөй ыкмасын колдонот. Windows API колдонуу.
Fig.3 Жүктөө жазуусунун модификациясы
Компьютерди эксфильтрациялоонун бул ыкмасы башка көптөгөн ransomware тарабынан колдонулат: SmartRansom, Maze, ONI Ransomware, Bioskits, MBRlock Ransomware, HDDCryptor Ransomware, RedBoot, UselessDisk. MBR кайра жазууну ишке ашыруу MBR Locker онлайн сыяктуу программалар үчүн баштапкы коддордун пайда болушу менен жалпы коомчулукка жеткиликтүү. Муну GitHubда ырастоо сиз Visual Studio үчүн баштапкы коду же даяр долбоорлору бар көп сандагы репозиторийлерди таба аласыз.
GitHub бул кодду түзүү , натыйжасы бир нече секунданын ичинде колдонуучунун компьютерин өчүрүүчү программа болуп саналат. Ал эми аны чогултууга беш-он мүнөттөй убакыт кетет.
Көрсө, зыяндуу зыяндуу программаларды чогултуу үчүн чоң көндүмдөрдүн же ресурстардын кереги жок, аны каалаган адам, каалаган жерде жасай алат. Код Интернетте эркин жеткиликтүү жана аны окшош программаларда оңой эле чыгарууга болот. Бул мени ойлондурат. Бул кийлигишүүнү жана белгилүү чараларды көрүүнү талап кылган олуттуу көйгөй.
Source: www.habr.com