Tegen de achtergrond van de coronaviruspandemie bestaat het gevoel dat er parallel daarmee een even grootschalige digitale epidemie is uitgebroken. . De groeisnelheid van het aantal phishing-sites, spam, frauduleuze bronnen, malware en soortgelijke kwaadaardige activiteiten geeft aanleiding tot ernstige zorgen. De omvang van de aanhoudende wetteloosheid wordt aangegeven door het nieuws dat “afpersers beloven medische instellingen niet aan te vallen” . Ja, dat klopt: degenen die het leven en de gezondheid van mensen beschermen tijdens de pandemie zijn ook onderhevig aan malware-aanvallen, zoals het geval was in Tsjechië, waar de CoViper-ransomware het werk van verschillende ziekenhuizen verstoorde .
Er bestaat een verlangen om te begrijpen wat ransomware is die misbruik maakt van het coronavirusthema en waarom ze zo snel verschijnen. Er zijn malwaremonsters gevonden op het netwerk - CoViper en CoronaVirus, die veel computers aanvielen, ook in openbare ziekenhuizen en medische centra.
Beide uitvoerbare bestanden hebben het Portable Executable-formaat, wat erop wijst dat ze voor Windows bedoeld zijn. Ze zijn ook gecompileerd voor x86. Het is opmerkelijk dat ze erg op elkaar lijken, alleen CoViper is geschreven in Delphi, zoals blijkt uit de compilatiedatum van 19 juni 1992 en sectienamen, en CoronaVirus in C. Beide zijn vertegenwoordigers van encryptors.
Ransomware of ransomware zijn programma's die, eenmaal op de computer van een slachtoffer, gebruikersbestanden versleutelen, het normale opstartproces van het besturingssysteem verstoren en de gebruiker informeren dat hij de aanvallers moet betalen om het te ontsleutelen.
Nadat het programma is gestart, zoekt het naar gebruikersbestanden op de computer en codeert deze. Ze voeren zoekopdrachten uit met behulp van standaard API-functies, waarvan gebruiksvoorbeelden gemakkelijk te vinden zijn op MSDN .
Fig.1 Zoeken naar gebruikersbestanden
Na een tijdje starten ze de computer opnieuw op en geven ze een soortgelijk bericht weer dat de computer wordt geblokkeerd.
Afb.2 Blokkeringsbericht
Om het opstartproces van het besturingssysteem te verstoren, gebruikt ransomware een eenvoudige techniek om het opstartrecord (MBR) te wijzigen. met behulp van de Windows-API.
Fig.3 Wijziging van het opstartrecord
Deze methode om een computer te exfiltreren wordt door veel andere ransomware gebruikt: SmartRansom, Maze, ONI Ransomware, Bioskits, MBRlock Ransomware, HDDCryptor Ransomware, RedBoot, UselessDisk. De implementatie van MBR-herschrijving is beschikbaar voor het grote publiek met het verschijnen van broncodes voor programma's zoals MBR Locker online. Bevestig dit op GitHub je kunt een groot aantal repository's vinden met broncode of kant-en-klare projecten voor Visual Studio.
Deze code compileren vanuit GitHub , is het resultaat een programma dat de computer van de gebruiker binnen enkele seconden uitschakelt. En het duurt ongeveer vijf tot tien minuten om het in elkaar te zetten.
Het blijkt dat je voor het samenstellen van kwaadaardige malware niet over geweldige vaardigheden of middelen hoeft te beschikken; iedereen, waar dan ook, kan het. De code is gratis beschikbaar op internet en kan eenvoudig in vergelijkbare programma's worden gereproduceerd. Dit zet mij aan het denken. Dit is een ernstig probleem dat ingrijpen en het nemen van bepaalde maatregelen vereist.
Bron: www.habr.com