Koronaviruso pandemijos fone jaučiamas jausmas, kad lygiagrečiai su ja įsiplieskė tokio pat plataus masto skaitmeninė epidemija. . Susirūpinimą kelia sukčiavimo svetainių, šlamšto, apgaulingų išteklių, kenkėjiškų programų ir panašios kenkėjiškos veiklos skaičiaus augimo tempas. Apie vykdomo neteisėtumo mastą byloja žinia, kad „prievartautojai žada nepulti gydymo įstaigų“ . Taip, tai tiesa: tie, kurie saugo žmonių gyvybes ir sveikatą pandemijos metu, taip pat patiria kenkėjiškų programų atakų, kaip buvo Čekijos Respublikoje, kur CoViper išpirkos programa sutrikdė kelių ligoninių darbą. .
Norisi suprasti, kas yra išpirkos reikalaujančios programos, išnaudojančios koronaviruso temą, ir kodėl jos taip greitai atsiranda. Tinkle buvo rasti kenkėjiškų programų pavyzdžiai – „CoViper“ ir „CoronaVirus“, kurie atakavo daugybę kompiuterių, įskaitant valstybines ligonines ir medicinos centrus.
Abu šie vykdomieji failai yra Portable Executable formatu, o tai rodo, kad jie skirti Windows. Jie taip pat yra sudaryti x86. Pastebėtina, kad jie labai panašūs vienas į kitą, Delphi parašyta tik CoViper, ką liudija 19 m. birželio 1992 d. sudarymo data ir sekcijų pavadinimai, o CoronaVirus C. Abu yra šifruotojų atstovai.
Išpirkos reikalaujančios programos arba išpirkos reikalaujančios programos yra programos, kurios, patekusios į aukos kompiuterį, užšifruoja vartotojo failus, sutrikdo įprastą operacinės sistemos įkrovos procesą ir informuoja vartotoją, kad jis turi sumokėti užpuolikams, kad jie iššifruotų.
Paleidusi programą, ji kompiuteryje ieško vartotojo failų ir juos užšifruoja. Jie atlieka paieškas naudodami standartines API funkcijas, kurių naudojimo pavyzdžių nesunkiai galima rasti MSDN .
1 pav. Ieškokite vartotojo failų
Po kurio laiko jie iš naujo paleidžia kompiuterį ir parodo panašų pranešimą apie užblokuotą kompiuterį.
Pav.2 Blokavimo pranešimas
Norėdami sutrikdyti operacinės sistemos įkrovos procesą, išpirkos reikalaujanti programa naudoja paprastą įkrovos įrašo (MBR) modifikavimo techniką. naudojant Windows API.
3 pav. Įkrovos įrašo modifikavimas
Šį kompiuterio išfiltravimo būdą naudoja daugelis kitų išpirkos reikalaujančių programų: SmartRansom, Maze, ONI Ransomware, Bioskits, MBRlock Ransomware, HDDCryptor Ransomware, RedBoot, UselessDisk. MBR perrašymo diegimas yra prieinamas plačiajai visuomenei, kai pasirodo šaltinio kodai tokioms programoms kaip MBR Locker internete. Tai patvirtinama „GitHub“. galite rasti daugybę saugyklų su šaltinio kodu arba paruoštais „Visual Studio“ projektais.
Šio kodo kompiliavimas iš GitHub , rezultatas yra programa, kuri per kelias sekundes išjungia vartotojo kompiuterį. O surinkti užtrunka apie penkias ar dešimt minučių.
Pasirodo, kad norint surinkti kenkėjiškas programas, nereikia turėti didelių įgūdžių ar išteklių, bet kas ir bet kur gali tai padaryti. Kodas yra laisvai prieinamas internete ir gali būti lengvai atkuriamas panašiose programose. Tai verčia susimąstyti. Tai rimta problema, kuri reikalauja įsikišimo ir tam tikrų priemonių.
Šaltinis: www.habr.com