Tendo como pano de fundo a pandemia do coronavírus, existe a sensação de que uma epidemia digital igualmente em grande escala eclodiu paralelamente a ela. . A taxa de crescimento do número de sites de phishing, spam, recursos fraudulentos, malware e atividades maliciosas semelhantes suscita sérias preocupações. A escala da ilegalidade em curso é indicada pelas notícias de que “os extorsionistas prometem não atacar instituições médicas” . Sim, é verdade: quem protege a vida e a saúde das pessoas durante a pandemia também está sujeito a ataques de malware, como foi o caso da República Checa, onde o ransomware CoViper interrompeu o funcionamento de vários hospitais .
Há um desejo de entender o que é ransomware que explora o tema do coronavírus e por que eles estão aparecendo tão rapidamente. Foram encontradas amostras de malware na rede - CoViper e CoronaVirus, que atacaram muitos computadores, inclusive em hospitais públicos e centros médicos.
Ambos os arquivos executáveis estão no formato Portable Executable, o que sugere que são direcionados ao Windows. Eles também são compilados para x86. Vale ressaltar que eles são muito semelhantes entre si, apenas o CoViper é escrito em Delphi, como evidenciado pela data de compilação de 19 de junho de 1992 e nomes das seções, e CoronaVirus em C. Ambos são representantes de criptografadores.
Ransomware ou ransomware são programas que, uma vez no computador da vítima, criptografam os arquivos do usuário, interrompem o processo normal de inicialização do sistema operacional e informam ao usuário que ele precisa pagar aos invasores para descriptografá-lo.
Após iniciar o programa, ele procura os arquivos do usuário no computador e os criptografa. Eles realizam pesquisas usando funções API padrão, cujos exemplos de uso podem ser facilmente encontrados no MSDN .
Fig.1 Pesquisa de arquivos do usuário
Depois de um tempo, eles reiniciam o computador e exibem uma mensagem semelhante sobre o bloqueio do computador.
Fig.2 Mensagem de bloqueio
Para interromper o processo de inicialização do sistema operacional, o ransomware usa uma técnica simples de modificação do registro de inicialização (MBR) usando a API do Windows.
Fig.3 Modificação do registro de inicialização
Este método de exfiltração de um computador é usado por muitos outros ransomware: SmartRansom, Maze, ONI Ransomware, Bioskits, MBRlock Ransomware, HDDCryptor Ransomware, RedBoot, UselessDisk. A implementação da reescrita do MBR está disponível ao público em geral com o aparecimento de códigos-fonte para programas como o MBR Locker online. Confirmando isso no GitHub você pode encontrar um grande número de repositórios com código-fonte ou projetos prontos para Visual Studio.
Compilando este código do GitHub , o resultado é um programa que desativa o computador do usuário em poucos segundos. E leva cerca de cinco ou dez minutos para montá-lo.
Acontece que para montar malware malicioso você não precisa ter grandes habilidades ou recursos; qualquer pessoa, em qualquer lugar, pode fazê-lo. O código está disponível gratuitamente na Internet e pode ser facilmente reproduzido em programas semelhantes. Isso me faz pensar. Este é um problema grave que requer intervenção e tomada de certas medidas.
Fonte: habr.com