ဒစ်ဂျစ်တယ်ကူးစက်ရောဂါ- CoronaVirus နှင့် CoViper

ကိုရိုနာဗိုင်းရပ်၏နောက်ခံကိုဆန့်ကျင်ဘက်တွင်၊ အညီအမျှကြီးမားသောဒစ်ဂျစ်တယ်ကပ်ရောဂါသည်၎င်းနှင့်အပြိုင် ကွဲထွက်သွားသည်ဟု ခံစားချက်ရှိသည်။ [1]. ဖြားယောင်းသောဆိုက်များ၊ စပမ်းများ၊ လိမ်လည်လှည့်ဖြားသောအရင်းအမြစ်များ၊ malware နှင့် အလားတူအန္တရာယ်ရှိသော လုပ်ဆောင်ချက်များတွင် ကြီးထွားမှုနှုန်းသည် လေးလေးနက်နက်စိုးရိမ်မှုများ တိုးပွားစေသည်။ “ငွေညှစ်သမားများသည် ဆေးဘက်ဆိုင်ရာအဖွဲ့အစည်းများကို တိုက်ခိုက်မည်မဟုတ်ကြောင်း ကတိပြုသည်” ဟူသော သတင်းဖြင့် ဆက်လက်ဖြစ်ပွားနေသော တရားမဲ့မှု၏အတိုင်းအတာကို ဖော်ပြသည်။ [2]. ဟုတ်ကဲ့၊ ဒါမှန်ပါတယ်- ကပ်ရောဂါကာလအတွင်း လူတို့၏အသက်နှင့် ကျန်းမာရေးကို အကာအကွယ်ပေးသူများသည် ချက်သမ္မတနိုင်ငံတွင်လည်း အလားတူပင် CoViper ransomware သည် ဆေးရုံများစွာ၏လုပ်ငန်းဆောင်တာများကို အနှောင့်အယှက်ဖြစ်စေသည့် Malware တိုက်ခိုက်မှုကိုလည်း ခံရပါသည်။ [3].
ကိုရိုနာ ဗိုင်းရပ်စ် ဆောင်ပုဒ်ကို အသုံးချသည့် ransomware သည် အဘယ်အရာဖြစ်ပြီး ၎င်းတို့သည် အဘယ်ကြောင့် ဤမျှ လျင်မြန်စွာ ပေါ်လာသည်ကို နားလည်ရန် ဆန္ဒရှိပါသည်။ အစိုးရဆေးရုံများနှင့် ဆေးဘက်ဆိုင်ရာဌာနများအပါအဝင် ကွန်ပျူတာအများအပြားကို တိုက်ခိုက်သည့် ဗိုင်းရပ်စ်နမူနာများကို ကွန်ရက်ပေါ်တွင် တွေ့ရှိခဲ့သည်။
ဤ executable ဖိုင်နှစ်ခုစလုံးသည် အိတ်ဆောင် အကောင်အထည်ဖော်နိုင်သော ဖော်မတ်ဖြစ်ပြီး ၎င်းတို့သည် Windows အတွက် ရည်ရွယ်သည်ဟု အကြံပြုထားသည်။ ၎င်းတို့ကို x86 အတွက်လည်း စုစည်းထားပါသည်။ ၎င်းတို့သည် တစ်ခုနှင့်တစ်ခု အလွန်ဆင်တူကြသည်မှာ မှတ်သားဖွယ်ကောင်းသည်မှာ CoViper သည် Delphi တွင်သာ ရေးသားထားခြင်းဖြစ်ပြီး ဇွန်လ 19 ရက်၊ 1992 နှင့် အပိုင်းအမည်များ၊ နှင့် C တွင် CoronaVirus နှစ်ခုလုံးသည် ကုဒ်ဝှက်စနစ်များ၏ ကိုယ်စားလှယ်များဖြစ်သည်။
Ransomware သို့မဟုတ် ransomware များသည် သားကောင်၏ကွန်ပျူတာပေါ်တွင် တစ်ကြိမ်၊ အသုံးပြုသူဖိုင်များကို စာဝှက်ခြင်း၊ လည်ပတ်မှုစနစ်၏ ပုံမှန် boot လုပ်ငန်းစဉ်ကို နှောင့်ယှက်ပြီး ၎င်းကို ကုဒ်ဝှက်ရန်အတွက် တိုက်ခိုက်သူများအား ပေးဆောင်ရန် လိုအပ်ကြောင်း သုံးစွဲသူအား အသိပေးသည့် ပရိုဂရမ်များဖြစ်သည်။
ပရိုဂရမ်ကို စတင်ပြီးနောက်၊ ၎င်းသည် ကွန်ပျူတာရှိ အသုံးပြုသူဖိုင်များကို ရှာဖွေပြီး ၎င်းတို့အား စာဝှက်ပေးသည်။ ၎င်းတို့သည် စံ API လုပ်ဆောင်ချက်များကို အသုံးပြု၍ ရှာဖွေမှုများ လုပ်ဆောင်ပြီး၊ MSDN တွင် အလွယ်တကူ ရှာတွေ့နိုင်သည့် အသုံးပြုမှု ဥပမာများ [4].

ပုံ.1 အသုံးပြုသူဖိုင်များကို ရှာဖွေပါ။

ခဏအကြာတွင် ၎င်းတို့သည် ကွန်ပြူတာကို ပြန်လည်စတင်ပြီး ကွန်ပြူတာ ပိတ်ဆို့ခံရခြင်းအကြောင်း အလားတူ မက်ဆေ့ချ်ကို ပြသသည်။

ပုံ။၂ မက်ဆေ့ချ်ကို ပိတ်ဆို့ခြင်း။

လည်ပတ်မှုစနစ်၏ boot လုပ်ငန်းစဉ်ကို အနှောင့်အယှက်ဖြစ်စေရန်၊ ransomware သည် boot record (MBR) ကို မွမ်းမံပြင်ဆင်သည့် ရိုးရှင်းသောနည်းပညာကို အသုံးပြုသည်။ [5] Windows API ကို အသုံးပြု.

Fig.3 boot record ကို ပြုပြင်မွမ်းမံခြင်း။

ကွန်ပြူတာတစ်လုံးကို ဖယ်ထုတ်ခြင်းနည်းလမ်းကို အခြားသော ransomware အများအပြားဖြစ်သည့် SmartRansom၊ Maze၊ ONI Ransomware၊ Bioskits၊ MBRlock Ransomware၊ HDDCryptor Ransomware၊ RedBoot၊ UselessDisk တို့မှ အသုံးပြုသည်။ MBR Locker ကဲ့သို့သော အွန်လိုင်းပရိုဂရမ်များအတွက် အရင်းအမြစ်ကုဒ်များ အသွင်အပြင်ဖြင့် MBR ပြန်လည်ရေးသားခြင်းကို အကောင်အထည်ဖော်ခြင်းဖြင့် အများသူငှာအသုံးပြုနိုင်ပါသည်။ GitHub တွင် ၎င်းကို အတည်ပြုခြင်း။ [6] ရင်းမြစ်ကုဒ် သို့မဟုတ် Visual Studio အတွက် အဆင်သင့်လုပ်ထားသော ပရောဂျက်များပါရှိသော သိုလှောင်ခန်းအများအပြားကို သင်ရှာတွေ့နိုင်ပါသည်။
GitHub မှ ဤကုဒ်ကို စုစည်းနေသည်။ [7]ရလဒ်သည် သုံးစွဲသူ၏ ကွန်ပျူတာကို စက္ကန့်အနည်းငယ်အတွင်း ပိတ်ပစ်သည့် ပရိုဂရမ်တစ်ခုဖြစ်သည်။ ၎င်းကို စုစည်းရန် ငါးမိနစ်၊ ဆယ်မိနစ်ခန့် ကြာသည်။
အန္တရာယ်ရှိသော malware များစုစည်းရန်အတွက် သင့်တွင် ကောင်းမွန်သော ကျွမ်းကျင်မှုများ သို့မဟုတ် အရင်းအမြစ်များ ရှိရန်မလိုအပ်ပါ၊ မည်သူမဆို၊ နေရာတိုင်းတွင် ၎င်းကို လုပ်ဆောင်နိုင်သည်ဟု ထင်ရှားပါသည်။ ကုဒ်ကို အင်တာနက်ပေါ်တွင် လွတ်လပ်စွာ ရရှိနိုင်ပြီး အလားတူ ပရိုဂရမ်များတွင် အလွယ်တကူ ပြန်ထုတ်ပေးနိုင်သည်။ ဒါကငါ့ကိုစဉ်းစားစေတယ်။ ဤသည်မှာ ကြားဝင်စွက်ဖက်မှုနှင့် အချို့သော အရေးယူဆောင်ရွက်မှုများ လိုအပ်သည့် ပြင်းထန်သော ပြဿနာဖြစ်သည်။

source: www.habr.com