På bakgrunn av koronaviruspandemien er det en følelse av at en like stor digital epidemi har brutt ut parallelt med den.
Begge disse kjørbare filene er i Portable Executable-format, noe som antyder at de er rettet mot Windows. De er også kompilert for x86. Det er bemerkelsesverdig at de er veldig like hverandre, bare CoViper er skrevet i Delphi, som det fremgår av kompileringsdatoen 19. juni 1992 og navnene på seksjonene, og CoronaVirus i C. Begge er representanter for kryptografer.
Ransomware eller løsepengevare er programmer som, når de først er på et offers datamaskin, krypterer brukerfiler, forstyrrer den normale oppstartsprosessen til operativsystemet og informerer brukeren om at han må betale angriperne for å dekryptere det.
Etter å ha startet programmet, søker det etter brukerfiler på datamaskinen og krypterer dem. De utfører søk ved hjelp av standard API-funksjoner, eksempler på bruk kan enkelt finnes på MSDN
Fig.1 Søk etter brukerfiler
Etter en stund starter de datamaskinen på nytt og viser en lignende melding om at datamaskinen er blokkert.
Fig.2 Blokkeringsmelding
For å forstyrre oppstartsprosessen til operativsystemet bruker ransomware en enkel teknikk for å endre oppstartsrekorden (MBR)
Fig.3 Modifikasjon av oppstartsrecord
Denne metoden for å eksfiltrere en datamaskin brukes av mange andre løsepengeprogrammer: SmartRansom, Maze, ONI Ransomware, Bioskits, MBRlock Ransomware, HDDCryptor Ransomware, RedBoot, UselessDisk. Implementeringen av MBR-omskriving er tilgjengelig for allmennheten med utseendet til kildekoder for programmer som MBR Locker online. Bekrefter dette på GitHub
Kompilere denne koden fra GitHub
Det viser seg at for å sette sammen skadelig skadelig programvare trenger du ikke å ha store ferdigheter eller ressurser; hvem som helst, hvor som helst, kan gjøre det. Koden er fritt tilgjengelig på Internett og kan enkelt reproduseres i lignende programmer. Dette får meg til å tenke. Dette er et alvorlig problem som krever inngrep og visse tiltak.
Kilde: www.habr.com