Na tle pandemii koronawirusa można odnieść wrażenie, że równolegle z nią wybuchła epidemia cyfrowa na równie dużą skalę.
Obydwa pliki wykonywalne mają format Portable Executable, co sugeruje, że są przeznaczone dla systemu Windows. Są one również kompilowane dla x86. Warto zauważyć, że są one do siebie bardzo podobne, jedynie CoViper jest napisany w Delphi, o czym świadczy data kompilacji 19 czerwca 1992 i nazwy sekcji, a CoronaVirus w C. Obydwa są przedstawicielami szyfratorów.
Ransomware lub ransomware to programy, które po wejściu na komputer ofiary szyfrują pliki użytkownika, zakłócają normalny proces uruchamiania systemu operacyjnego i informują użytkownika, że musi zapłacić atakującym za jego odszyfrowanie.
Po uruchomieniu program wyszukuje pliki użytkownika na komputerze i szyfruje je. Dokonują wyszukiwania przy użyciu standardowych funkcji API, których przykłady użycia można łatwo znaleźć na MSDN
Rys.1 Wyszukiwanie plików użytkownika
Po chwili restartują komputer i wyświetlają podobny komunikat o zablokowaniu komputera.
Rys.2 Blokowanie wiadomości
Aby zakłócić proces uruchamiania systemu operacyjnego, ransomware wykorzystuje prostą technikę modyfikowania rekordu rozruchowego (MBR)
Rys.3 Modyfikacja rekordu startowego
Ta metoda eksfiltracji komputera jest wykorzystywana przez wiele innych ransomware: SmartRansom, Maze, ONI Ransomware, Bioskits, MBRlock Ransomware, HDDCryptor Ransomware, RedBoot, UselessDisk. Implementacja przepisywania MBR jest dostępna dla ogółu społeczeństwa wraz z pojawieniem się kodów źródłowych dla programów takich jak MBR Locker online. Potwierdzam to na GitHubie
Kompilowanie tego kodu z GitHub
Okazuje się, że aby złożyć złośliwe oprogramowanie, nie trzeba posiadać wielkich umiejętności ani zasobów – może to zrobić każdy, gdziekolwiek. Kod jest swobodnie dostępny w Internecie i można go łatwo odtworzyć w podobnych programach. To daje mi do myślenia. Jest to poważny problem wymagający interwencji i podjęcia określonych działań.
Źródło: www.habr.com