Uz koronavīrusa pandēmijas fona ir sajūta, ka paralēli tai ir izcēlusies tikpat liela digitālā epidēmija.
Abi šie izpildāmie faili ir Portable Executable formātā, kas liecina, ka tie ir paredzēti operētājsistēmai Windows. Tie ir apkopoti arī x86. Zīmīgi, ka tie ir ļoti līdzīgi viens otram, Delfos ir rakstīts tikai CoViper, par ko liecina sastādīšanas datums 19. gada 1992. jūnijs un sadaļu nosaukumi, un CoronaVirus C. Abi ir kriptogrāfu pārstāvji.
Izpirkuma programmatūra jeb izpirkuma programmatūra ir programmas, kuras, nonākot upura datorā, šifrē lietotāja failus, izjauc normālu operētājsistēmas sāknēšanas procesu un informē lietotāju, ka viņam ir jāmaksā uzbrucējiem, lai to atšifrētu.
Pēc programmas palaišanas tā meklē lietotāja failus datorā un šifrē tos. Viņi veic meklēšanu, izmantojot standarta API funkcijas, kuru izmantošanas piemērus var viegli atrast MSDN
1. att. Lietotāju failu meklēšana
Pēc kāda laika viņi restartē datoru un parāda līdzīgu ziņojumu par datora bloķēšanu.
Zīm.2 Bloķēšanas ziņojums
Lai izjauktu operētājsistēmas sāknēšanas procesu, izpirkuma programmatūra izmanto vienkāršu sāknēšanas ieraksta (MBR) modificēšanas paņēmienu.
3. att. Sāknēšanas ieraksta modifikācija
Šo datora eksfiltrācijas metodi izmanto daudzas citas izpirkuma programmas: SmartRansom, Maze, ONI Ransomware, Bioskits, MBRlock Ransomware, HDDCryptor Ransomware, RedBoot, UselessDisk. MBR pārrakstīšanas ieviešana ir pieejama plašai sabiedrībai, parādoties avota kodiem tādām programmām kā MBR Locker tiešsaistē. Tas tiek apstiprināts vietnē GitHub
Šī koda kompilēšana no GitHub
Izrādās, ka, lai samontētu ļaunprātīgu ļaunprogrammatūru, nav nepieciešamas lielas prasmes vai resursi, to var izdarīt ikviens un jebkur. Kods ir brīvi pieejams internetā, un to var viegli reproducēt līdzīgās programmās. Tas man liek aizdomāties. Tā ir nopietna problēma, kas prasa iejaukšanos un noteiktu pasākumu veikšanu.
Avots: www.habr.com