Дигитална епидемија: Коронавирус против Ковипер

Наспроти позадината на пандемијата на коронавирус, постои чувство дека паралелно со неа изби и дигитална епидемија подеднакво од големи размери. [1]. Стапката на раст на бројот на phishing сајтови, спам, измамнички ресурси, малициозен софтвер и слични злонамерни активности предизвикува сериозна загриженост. За размерите на тековното беззаконие говори веста дека „изнудувачите ветуваат дека нема да ги напаѓаат медицинските установи“ [2]. Да, тоа е точно: оние кои ги штитат животите и здравјето на луѓето за време на пандемијата исто така се предмет на напади со малициозен софтвер, како што беше случајот во Чешка, каде откупниот софтвер CoViper ја наруши работата на неколку болници [3].
Постои желба да се разбере што е откупниот софтвер што ја искористува темата за коронавирус и зошто тие се појавуваат толку брзо. На мрежата беа пронајдени примероци од малициозен софтвер - CoViper и CoronaVirus, кои нападнаа многу компјутери, вклучително и во јавните болници и медицинските центри.
И двете од овие извршни датотеки се во Portable Executable формат, што сугерира дека тие се насочени кон Windows. Тие се компајлирани и за x86. Вреди да се одбележи дека тие се многу слични еден на друг, само CoViper е напишан во Делфи, за што сведочи датумот на составување од 19 јуни 1992 година и имињата на деловите, а CoronaVirus во C. И двајцата се претставници на енкриптори.
Ransomware или ransomware се програми кои, еднаш на компјутерот на жртвата, ги шифрираат корисничките датотеки, го нарушуваат нормалниот процес на подигање на оперативниот систем и го информираат корисникот дека треба да им плати на напаѓачите за да го дешифрираат.
По стартувањето на програмата, таа бара кориснички датотеки на компјутерот и ги шифрира. Тие вршат пребарувања користејќи стандардни функции на API, чии примери може лесно да се најдат на MSDN [4].

Сл.1 Пребарај за кориснички датотеки

По некое време, тие го рестартираат компјутерот и прикажуваат слична порака за блокирање на компјутерот.

Сл.2 Порака за блокирање

За да го наруши процесот на подигање на оперативниот систем, ransomware користи едноставна техника за менување на записот за подигање (MBR) [5] користејќи го Windows API.

Сл.3 Измена на записот за подигање

Овој метод на ексфилтрирање на компјутер го користат многу други откупни софтвери: SmartRansom, Maze, ONI Ransomware, Bioskits, MBRlock Ransomware, HDDCryptor Ransomware, RedBoot, UselessDisk. Имплементацијата на препишувањето на MBR е достапна за пошироката јавност со појавата на изворни кодови за програми како што е MBR Locker онлајн. Се потврдува ова на GitHub [6] можете да најдете огромен број складишта со изворен код или готови проекти за Visual Studio.
Составување на овој код од GitHub [7], резултатот е програма што го оневозможува компјутерот на корисникот за неколку секунди. И потребни се околу пет или десет минути за да се состави.
Излегува дека за да соберете малициозен софтвер не треба да имате големи вештини или ресурси; секој, секаде може да го направи тоа. Кодот е слободно достапен на Интернет и лесно може да се репродуцира во слични програми. Ова ме тера да размислувам. Станува збор за сериозен проблем кој бара интервенција и преземање одредени мерки.

Извор: www.habr.com