Uz koronavīrusa pandēmijas fona ir sajūta, ka paralēli tai ir izcēlusies tikpat liela digitālā epidēmija. . Nopietnas bažas rada pikšķerēšanas vietņu, surogātpasta, krāpniecisku resursu, ļaunprātīgas programmatūras un līdzīgu ļaunprātīgu darbību skaita pieauguma temps. Par notiekošo nelikumību apmēriem liecina ziņa, ka “izspiedēji sola neuzbrukt medicīnas iestādēm” . Jā, tieši tā: tie, kas pandēmijas laikā aizsargā cilvēku dzīvības un veselību, ir pakļauti arī ļaunprātīgas programmatūras uzbrukumiem, kā tas bija Čehijas Republikā, kur CoViper izpirkuma programmatūra traucēja vairāku slimnīcu darbu. .
Ir vēlme saprast, kas ir koronavīrusa tēmu ekspluatējoša izspiedējvīrusa programmatūra un kāpēc tās parādās tik ātri. Tīklā tika atrasti ļaunprātīgas programmatūras paraugi - CoViper un CoronaVirus, kas uzbruka daudziem datoriem, tostarp valsts slimnīcās un medicīnas centros.
Abi šie izpildāmie faili ir Portable Executable formātā, kas liecina, ka tie ir paredzēti operētājsistēmai Windows. Tie ir apkopoti arī x86. Zīmīgi, ka tie ir ļoti līdzīgi viens otram, Delfos ir rakstīts tikai CoViper, par ko liecina sastādīšanas datums 19. gada 1992. jūnijs un sadaļu nosaukumi, un CoronaVirus C. Abi ir kriptogrāfu pārstāvji.
Izpirkuma programmatūra jeb izpirkuma programmatūra ir programmas, kuras, nonākot upura datorā, šifrē lietotāja failus, izjauc normālu operētājsistēmas sāknēšanas procesu un informē lietotāju, ka viņam ir jāmaksā uzbrucējiem, lai to atšifrētu.
Pēc programmas palaišanas tā meklē lietotāja failus datorā un šifrē tos. Viņi veic meklēšanu, izmantojot standarta API funkcijas, kuru izmantošanas piemērus var viegli atrast MSDN .
1. att. Lietotāju failu meklēšana
Pēc kāda laika viņi restartē datoru un parāda līdzīgu ziņojumu par datora bloķēšanu.
Zīm.2 Bloķēšanas ziņojums
Lai izjauktu operētājsistēmas sāknēšanas procesu, izpirkuma programmatūra izmanto vienkāršu sāknēšanas ieraksta (MBR) modificēšanas paņēmienu. izmantojot Windows API.
3. att. Sāknēšanas ieraksta modifikācija
Šo datora eksfiltrācijas metodi izmanto daudzas citas izpirkuma programmas: SmartRansom, Maze, ONI Ransomware, Bioskits, MBRlock Ransomware, HDDCryptor Ransomware, RedBoot, UselessDisk. MBR pārrakstīšanas ieviešana ir pieejama plašai sabiedrībai, parādoties avota kodiem tādām programmām kā MBR Locker tiešsaistē. Tas tiek apstiprināts vietnē GitHub jūs varat atrast milzīgu skaitu repozitoriju ar avota kodu vai gataviem projektiem Visual Studio.
Šī koda kompilēšana no GitHub , rezultāts ir programma, kas dažu sekunžu laikā atspējo lietotāja datoru. Un tā salikšana aizņem apmēram piecas vai desmit minūtes.
Izrādās, ka, lai samontētu ļaunprātīgu ļaunprogrammatūru, nav nepieciešamas lielas prasmes vai resursi, to var izdarīt ikviens un jebkur. Kods ir brīvi pieejams internetā, un to var viegli reproducēt līdzīgās programmās. Tas man liek aizdomāties. Tā ir nopietna problēma, kas prasa iejaukšanos un noteiktu pasākumu veikšanu.
Avots: www.habr.com