På bakgrunn av koronaviruspandemien er det en følelse av at en like stor digital epidemi har brutt ut parallelt med den. . Veksten i antall phishing-nettsteder, spam, uredelige ressurser, skadelig programvare og lignende ondsinnet aktivitet vekker alvorlige bekymringer. Omfanget av den pågående lovløsheten indikeres av nyhetene om at "utpressere lover å ikke angripe medisinske institusjoner" . Ja, det stemmer: de som beskytter folks liv og helse under pandemien er også utsatt for malware-angrep, slik tilfellet var i Tsjekkia, der CoViper løsepengevaren forstyrret arbeidet til flere sykehus .
Det er et ønske om å forstå hva løsepengevare som utnytter koronavirus-temaet er og hvorfor de dukker opp så raskt. Malwareprøver ble funnet på nettverket - CoViper og CoronaVirus, som angrep mange datamaskiner, inkludert på offentlige sykehus og medisinske sentre.
Begge disse kjørbare filene er i Portable Executable-format, noe som antyder at de er rettet mot Windows. De er også kompilert for x86. Det er bemerkelsesverdig at de er veldig like hverandre, bare CoViper er skrevet i Delphi, som det fremgår av kompileringsdatoen 19. juni 1992 og navnene på seksjonene, og CoronaVirus i C. Begge er representanter for kryptografer.
Ransomware eller løsepengevare er programmer som, når de først er på et offers datamaskin, krypterer brukerfiler, forstyrrer den normale oppstartsprosessen til operativsystemet og informerer brukeren om at han må betale angriperne for å dekryptere det.
Etter å ha startet programmet, søker det etter brukerfiler på datamaskinen og krypterer dem. De utfører søk ved hjelp av standard API-funksjoner, eksempler på bruk kan enkelt finnes på MSDN .
Fig.1 Søk etter brukerfiler
Etter en stund starter de datamaskinen på nytt og viser en lignende melding om at datamaskinen er blokkert.
Fig.2 Blokkeringsmelding
For å forstyrre oppstartsprosessen til operativsystemet bruker ransomware en enkel teknikk for å endre oppstartsrekorden (MBR) ved hjelp av Windows API.
Fig.3 Modifikasjon av oppstartsrecord
Denne metoden for å eksfiltrere en datamaskin brukes av mange andre løsepengeprogrammer: SmartRansom, Maze, ONI Ransomware, Bioskits, MBRlock Ransomware, HDDCryptor Ransomware, RedBoot, UselessDisk. Implementeringen av MBR-omskriving er tilgjengelig for allmennheten med utseendet til kildekoder for programmer som MBR Locker online. Bekrefter dette på GitHub du kan finne et stort antall depoter med kildekode eller ferdige prosjekter for Visual Studio.
Kompilere denne koden fra GitHub , er resultatet et program som deaktiverer brukerens datamaskin på noen få sekunder. Og det tar omtrent fem eller ti minutter å sette den sammen.
Det viser seg at for å sette sammen skadelig skadelig programvare trenger du ikke å ha store ferdigheter eller ressurser; hvem som helst, hvor som helst, kan gjøre det. Koden er fritt tilgjengelig på Internett og kan enkelt reproduseres i lignende programmer. Dette får meg til å tenke. Dette er et alvorlig problem som krever inngrep og visse tiltak.
Kilde: www.habr.com