Koronaviruso pandemijos fone jaučiamas jausmas, kad lygiagrečiai su ja įsiplieskė tokio pat plataus masto skaitmeninė epidemija.
Abu šie vykdomieji failai yra Portable Executable formatu, o tai rodo, kad jie skirti Windows. Jie taip pat yra sudaryti x86. Pastebėtina, kad jie labai panašūs vienas į kitą, Delphi parašyta tik CoViper, ką liudija 19 m. birželio 1992 d. sudarymo data ir sekcijų pavadinimai, o CoronaVirus C. Abu yra šifruotojų atstovai.
Išpirkos reikalaujančios programos arba išpirkos reikalaujančios programos yra programos, kurios, patekusios į aukos kompiuterį, užšifruoja vartotojo failus, sutrikdo įprastą operacinės sistemos įkrovos procesą ir informuoja vartotoją, kad jis turi sumokėti užpuolikams, kad jie iššifruotų.
Paleidusi programą, ji kompiuteryje ieško vartotojo failų ir juos užšifruoja. Jie atlieka paieškas naudodami standartines API funkcijas, kurių naudojimo pavyzdžių nesunkiai galima rasti MSDN
1 pav. Ieškokite vartotojo failų
Po kurio laiko jie iš naujo paleidžia kompiuterį ir parodo panašų pranešimą apie užblokuotą kompiuterį.
Pav.2 Blokavimo pranešimas
Norėdami sutrikdyti operacinės sistemos įkrovos procesą, išpirkos reikalaujanti programa naudoja paprastą įkrovos įrašo (MBR) modifikavimo techniką.
3 pav. Įkrovos įrašo modifikavimas
Šį kompiuterio išfiltravimo būdą naudoja daugelis kitų išpirkos reikalaujančių programų: SmartRansom, Maze, ONI Ransomware, Bioskits, MBRlock Ransomware, HDDCryptor Ransomware, RedBoot, UselessDisk. MBR perrašymo diegimas yra prieinamas plačiajai visuomenei, kai pasirodo šaltinio kodai tokioms programoms kaip MBR Locker internete. Tai patvirtinama „GitHub“.
Šio kodo kompiliavimas iš GitHub
Pasirodo, kad norint surinkti kenkėjiškas programas, nereikia turėti didelių įgūdžių ar išteklių, bet kas ir bet kur gali tai padaryti. Kodas yra laisvai prieinamas internete ir gali būti lengvai atkuriamas panašiose programose. Tai verčia susimąstyti. Tai rimta problema, kuri reikalauja įsikišimo ir tam tikrų priemonių.
Šaltinis: www.habr.com