Na tle pandemii koronawirusa można odnieść wrażenie, że równolegle z nią wybuchła epidemia cyfrowa na równie dużą skalę. . Tempo wzrostu liczby witryn phishingowych, spamu, fałszywych zasobów, złośliwego oprogramowania i podobnej szkodliwej aktywności budzi poważne obawy. O skali trwającego bezprawia świadczy informacja, że „oszuści obiecują nie atakować placówek medycznych” . Tak, to prawda: ci, którzy chronią życie i zdrowie ludzi w czasie pandemii, również są narażeni na ataki złośliwego oprogramowania, jak miało to miejsce w Czechach, gdzie ransomware CoViper zakłócił pracę kilku szpitali .
Istnieje potrzeba zrozumienia, czym jest oprogramowanie ransomware wykorzystujące motyw koronaawirusa i dlaczego pojawiają się tak szybko. W sieci wykryto próbki złośliwego oprogramowania – CoViper oraz CoronaVirus, które zaatakowało wiele komputerów, m.in. w publicznych szpitalach i ośrodkach medycznych.
Obydwa pliki wykonywalne mają format Portable Executable, co sugeruje, że są przeznaczone dla systemu Windows. Są one również kompilowane dla x86. Warto zauważyć, że są one do siebie bardzo podobne, jedynie CoViper jest napisany w Delphi, o czym świadczy data kompilacji 19 czerwca 1992 i nazwy sekcji, a CoronaVirus w C. Obydwa są przedstawicielami szyfratorów.
Ransomware lub ransomware to programy, które po wejściu na komputer ofiary szyfrują pliki użytkownika, zakłócają normalny proces uruchamiania systemu operacyjnego i informują użytkownika, że musi zapłacić atakującym za jego odszyfrowanie.
Po uruchomieniu program wyszukuje pliki użytkownika na komputerze i szyfruje je. Dokonują wyszukiwania przy użyciu standardowych funkcji API, których przykłady użycia można łatwo znaleźć na MSDN .
Rys.1 Wyszukiwanie plików użytkownika
Po chwili restartują komputer i wyświetlają podobny komunikat o zablokowaniu komputera.
Rys.2 Blokowanie wiadomości
Aby zakłócić proces uruchamiania systemu operacyjnego, ransomware wykorzystuje prostą technikę modyfikowania rekordu rozruchowego (MBR) za pomocą interfejsu API systemu Windows.
Rys.3 Modyfikacja rekordu startowego
Ta metoda eksfiltracji komputera jest wykorzystywana przez wiele innych ransomware: SmartRansom, Maze, ONI Ransomware, Bioskits, MBRlock Ransomware, HDDCryptor Ransomware, RedBoot, UselessDisk. Implementacja przepisywania MBR jest dostępna dla ogółu społeczeństwa wraz z pojawieniem się kodów źródłowych dla programów takich jak MBR Locker online. Potwierdzam to na GitHubie można znaleźć ogromną liczbę repozytoriów z kodem źródłowym lub gotowymi projektami dla Visual Studio.
Kompilowanie tego kodu z GitHub w rezultacie powstaje program, który w ciągu kilku sekund wyłącza komputer użytkownika. A złożenie go zajmuje około pięciu lub dziesięciu minut.
Okazuje się, że aby złożyć złośliwe oprogramowanie, nie trzeba posiadać wielkich umiejętności ani zasobów – może to zrobić każdy, gdziekolwiek. Kod jest swobodnie dostępny w Internecie i można go łatwo odtworzyć w podobnych programach. To daje mi do myślenia. Jest to poważny problem wymagający interwencji i podjęcia określonych działań.
Źródło: www.habr.com