Berlatarbelakangkan wabak coronavirus, terdapat perasaan bahawa wabak digital berskala besar yang sama telah berlaku selari dengannya. . Kadar pertumbuhan dalam bilangan tapak pancingan data, spam, sumber penipuan, perisian hasad dan aktiviti berniat jahat yang serupa menimbulkan kebimbangan yang serius. Skala pelanggaran undang-undang yang berterusan ditunjukkan oleh berita bahawa "pemeras ugut berjanji tidak akan menyerang institusi perubatan" . Ya, betul: mereka yang melindungi nyawa dan kesihatan orang semasa wabak juga tertakluk kepada serangan perisian hasad, seperti yang berlaku di Republik Czech, di mana perisian tebusan CoViper mengganggu kerja beberapa hospital .
Terdapat keinginan untuk memahami apakah perisian tebusan yang mengeksploitasi tema coronavirus dan mengapa ia muncul begitu cepat. Sampel perisian hasad ditemui pada rangkaian - CoViper dan CoronaVirus, yang menyerang banyak komputer, termasuk di hospital awam dan pusat perubatan.
Kedua-dua fail boleh laku ini berada dalam format Boleh Laksana Mudah Alih, yang menunjukkan bahawa ia ditujukan kepada Windows. Mereka juga disusun untuk x86. Perlu diperhatikan bahawa mereka sangat serupa antara satu sama lain, hanya CoViper yang ditulis dalam Delphi, seperti yang dibuktikan oleh tarikh penyusunan 19 Jun 1992 dan nama bahagian, dan CoronaVirus dalam C. Kedua-duanya adalah wakil penyulitan.
Perisian tebusan atau perisian tebusan ialah atur cara yang, sekali pada komputer mangsa, menyulitkan fail pengguna, mengganggu proses but biasa sistem pengendalian, dan memaklumkan pengguna bahawa dia perlu membayar penyerang untuk menyahsulitnya.
Selepas melancarkan program, ia mencari fail pengguna pada komputer dan menyulitkannya. Mereka melakukan carian menggunakan fungsi API standard, contoh penggunaannya boleh didapati dengan mudah di MSDN .
Rajah.1 Cari fail pengguna
Selepas beberapa ketika, mereka memulakan semula komputer dan memaparkan mesej serupa tentang komputer yang disekat.
Rajah.2 Mesej menyekat
Untuk mengganggu proses but sistem pengendalian, ransomware menggunakan teknik mudah untuk mengubah suai rekod but (MBR) menggunakan API Windows.
Rajah.3 Pengubahsuaian rekod but
Kaedah mengeksfiltrasi komputer ini digunakan oleh banyak perisian tebusan lain: SmartRansom, Maze, ONI Ransomware, Bioskits, MBRlock Ransomware, HDDCryptor Ransomware, RedBoot, UselessDisk. Pelaksanaan penulisan semula MBR tersedia untuk orang awam dengan kemunculan kod sumber untuk program seperti MBR Locker dalam talian. Mengesahkan ini di GitHub anda boleh menemui sejumlah besar repositori dengan kod sumber atau projek siap sedia untuk Visual Studio.
Menyusun kod ini daripada GitHub , hasilnya ialah program yang melumpuhkan komputer pengguna dalam beberapa saat. Dan ia mengambil masa kira-kira lima atau sepuluh minit untuk memasangnya.
Ternyata untuk memasang perisian hasad berniat jahat anda tidak perlu mempunyai kemahiran atau sumber yang hebat; sesiapa sahaja, di mana-mana sahaja boleh melakukannya. Kod ini tersedia secara percuma di Internet dan boleh diterbitkan semula dengan mudah dalam program yang serupa. Ini membuatkan saya berfikir. Ini adalah masalah serius yang memerlukan campur tangan dan mengambil langkah-langkah tertentu.
Sumber: www.habr.com