Коронавирусын цар тахлын цаана үүнтэй зэрэгцэн томоохон хэмжээний дижитал тахал дэгдсэн гэсэн сэтгэгдэл төрж байна. . Фишинг сайтууд, спам, залилан мэхлэх нөөц, хортой програм болон үүнтэй төстэй хорлонтой үйл ажиллагааны өсөлтийн хурд нь ноцтой түгшүүр төрүүлж байна. Үргэлжлүүлж буй хууль бус үйлдлүүдийн цар хүрээг “худалдан авагчид эмнэлгийн байгууллагууд руу халдахгүй гэж амлаж байна” гэсэн мэдээ харуулж байна. . Тийм ээ, энэ нь зөв: тахлын үед хүмүүсийн амь нас, эрүүл мэндийг хамгаалдаг хүмүүс мөн CoViper ransomware хэд хэдэн эмнэлгийн ажлыг саатуулсан Чех улсад тохиолдсон шиг хортой програмын халдлагад өртдөг. .
Коронавирусын сэдвүүдийг ашигладаг ransomware гэж юу болох, яагаад ийм хурдан гарч ирдэг болохыг ойлгох хүсэл байдаг. Сүлжээнээс олон тооны компьютерууд, тэр дундаа улсын эмнэлэг, эмнэлгийн төвүүдэд халдсан CoViper болон CoronaVirus зэрэг хортой програмын дээжийг олжээ.
Эдгээр хоёр биелэгдэх боломжтой файлууд нь зөөврийн гүйцэтгэх боломжтой форматтай байгаа нь Windows-д зориулагдсан болохыг харуулж байна. Тэдгээрийг мөн x86-д зориулж эмхэтгэсэн. Тэд бие биетэйгээ маш төстэй байдаг нь анхаарал татаж байгаа бөгөөд зөвхөн CoViper нь Delphi-д бичигдсэн байдаг нь 19 оны 1992-р сарын XNUMX-ний эмхэтгэлийн огноо болон хэсгийн нэрээр нотлогдож байгаа бөгөөд C дахь CoronaVirus нь хоёулаа шифрлэгчийн төлөөлөл юм.
Ransomware буюу ransomware нь хохирогчийн компьютер дээр нэгэнт хэрэглэгчийн файлуудыг шифрлэж, үйлдлийн системийн хэвийн ачаалах процессыг тасалдуулж, халдагчид шифрийг нь тайлахын тулд мөнгө төлөх шаардлагатайг хэрэглэгчдэд мэдээлдэг програмууд юм.
Програмыг ажиллуулсны дараа энэ нь компьютер дээрх хэрэглэгчийн файлуудыг хайж, тэдгээрийг шифрлэдэг. Тэд стандарт API функцуудыг ашиглан хайлт хийдэг бөгөөд ашиглах жишээг MSDN дээрээс хялбархан олж болно .
Зураг 1 Хэрэглэгчийн файлуудыг хайх
Хэсэг хугацааны дараа тэд компьютерээ дахин эхлүүлж, компьютерийг хаасан тухай ижил төстэй мессежийг харуулдаг.
Зураг.2 Блоклох мессеж
Ransomware нь үйлдлийн системийн ачаалах процессыг тасалдуулахын тулд ачаалах бичлэгийг (MBR) өөрчлөх энгийн аргыг ашигладаг. Windows API ашиглан.
Зураг.3 Ачаалах бичлэгийн өөрчлөлт
Компьютерийг гадагшлуулах энэ аргыг бусад олон ransomware ашигладаг: SmartRansom, Maze, ONI Ransomware, Bioskits, MBRlock Ransomware, HDDCryptor Ransomware, RedBoot, UselessDisk. MBR Locker гэх мэт программуудын эх кодууд гарч ирснээр MBR дахин бичихийг олон нийтэд нээлттэй болгож байна. Үүнийг GitHub дээр баталгаажуулж байна Та Visual Studio-д зориулсан эх код эсвэл бэлэн төслүүд бүхий асар олон тооны агуулахуудыг олох боломжтой.
Энэ кодыг GitHub-аас эмхэтгэж байна , үр дүн нь хэрэглэгчийн компьютерийг хэдхэн секундын дотор идэвхгүй болгодог програм юм. Тэгээд угсрахад тав, арван минут зарцуулдаг.
Хортой хортой програмыг цуглуулахын тулд танд маш их ур чадвар, нөөц байх шаардлагагүй, хэн ч, хаана ч хийж болно. Кодыг интернетэд чөлөөтэй ашиглах боломжтой бөгөөд ижил төстэй програмуудад хялбархан хуулбарлах боломжтой. Энэ нь намайг бодоход хүргэдэг. Энэ бол хөндлөнгийн оролцоо, тодорхой арга хэмжээ авах шаардлагатай ноцтой асуудал юм.
Эх сурвалж: www.habr.com