Fl-isfond tal-pandemija tal-koronavirus, hemm sensazzjoni li faqqgħet epidemija diġitali fuq skala daqstant kbira b'mod parallel magħha. . Ir-rata ta 'tkabbir fin-numru ta' siti ta 'phishing, spam, riżorsi frawdolenti, malware u attività malizzjuża simili tqajjem tħassib serju. L-iskala tal-illegalità li għaddejja hija indikata mill-aħbar li "l-estorsjonisti jwiegħdu li ma jattakkawx istituzzjonijiet mediċi" . Iva, hekk hu: dawk li jipproteġu l-ħajja u s-saħħa tan-nies matul il-pandemija huma wkoll soġġetti għal attakki ta’ malware, bħalma kien il-każ fir-Repubblika Ċeka, fejn ir-ransomware CoViper ħarbat ix-xogħol ta’ diversi sptarijiet. .
Hemm xewqa li wieħed jifhem x'inhu ransomware li jisfrutta t-tema tal-koronavirus u għaliex qed jidhru daqshekk malajr. Instabu kampjuni ta 'malware fuq in-netwerk - CoViper u CoronaVirus, li attakkaw ħafna kompjuters, inkluż fi sptarijiet pubbliċi u ċentri mediċi.
Dawn iż-żewġ fajls eżekutibbli huma f'format Portable Executable, li jissuġġerixxi li huma mmirati lejn il-Windows. Huma kkompilati wkoll għal x86. Ta 'min jinnota li huma simili ħafna għal xulxin, CoViper biss huwa miktub f'Delphi, kif muri mid-data tal-kumpilazzjoni ta' Ġunju 19, 1992 u l-ismijiet tas-sezzjonijiet, u CoronaVirus f'C. It-tnejn huma rappreżentanti ta 'kriptografi.
Ransomware jew ransomware huma programmi li, darba fuq il-kompjuter tal-vittma, jikkriptaw il-fajls tal-utent, ifixklu l-proċess normali tal-boot tas-sistema operattiva, u jinfurmaw lill-utent li jeħtieġ iħallas lill-attakkanti biex jiddeċifrawh.
Wara li tniedi l-programm, tfittex fajls tal-utent fuq il-kompjuter u tikkodifikahom. Huma jwettqu tfittxijiet bl-użu ta' funzjonijiet standard tal-API, li eżempji ta' użu tagħhom jistgħu jinstabu faċilment fuq MSDN .
Fig.1 Fittex għall-fajls tal-utent
Wara ftit, jerġgħu jibdew il-kompjuter u juru messaġġ simili dwar il-kompjuter li qed jiġi mblukkat.
Fig.2 Imblukkar messaġġ
Biex tfixkel il-proċess tal-ibbutjar tas-sistema operattiva, ransomware juża teknika sempliċi biex jimmodifika r-rekord tal-ibbutjar (MBR) billi tuża l-API tal-Windows.
Fig.3 Modifika tar-rekord tal-boot
Dan il-metodu ta 'esfiltrazzjoni ta' kompjuter jintuża minn ħafna ransomware ieħor: SmartRansom, Maze, ONI Ransomware, Bioskits, MBRlock Ransomware, HDDCryptor Ransomware, RedBoot, UselessDisk. L-implimentazzjoni tal-kitba mill-ġdid tal-MBR hija disponibbli għall-pubbliku ġenerali bid-dehra tal-kodiċi tas-sors għal programmi bħal MBR Locker online. Tikkonferma dan fuq GitHub tista 'ssib numru kbir ta' repożitorji b'kodiċi sors jew proġetti lesti għal Visual Studio.
Tiġbor dan il-kodiċi minn GitHub , ir-riżultat huwa programm li jiskonnettja l-kompjuter tal-utent fi ftit sekondi. U tieħu madwar ħames jew għaxar minuti biex tgħaqqadha.
Jirriżulta li biex tiġbor malware malizzjuż m'għandekx bżonn li jkollok ħiliet jew riżorsi kbar; kulħadd, kullimkien jista 'jagħmel dan. Il-kodiċi huwa disponibbli liberament fuq l-Internet u jista 'faċilment jiġi riprodott fi programmi simili. Dan iġġiegħli naħseb. Din hija problema serja li teħtieġ intervent u teħid ta’ ċerti miżuri.
Sors: www.habr.com