Pe fundalul pandemiei de coronavirus, există sentimentul că o epidemie digitală la fel de mare a izbucnit în paralel cu aceasta. . Rata de creștere a numărului de site-uri de phishing, spam, resurse frauduloase, programe malware și activități rău intenționate similare ridică îngrijorări serioase. Amploarea nelegiuirii în curs este indicată de știrea că „extorsionarii promit că nu vor ataca instituțiile medicale” . Da, așa este: cei care protejează viața și sănătatea oamenilor în timpul pandemiei sunt, de asemenea, supuși unor atacuri malware, așa cum a fost cazul în Cehia, unde ransomware-ul CoViper a perturbat activitatea mai multor spitale. .
Există dorința de a înțelege ce este ransomware-ul care exploatează tema coronavirusului și de ce apar atât de repede. În rețea au fost găsite mostre de malware - CoViper și CoronaVirus, care au atacat multe computere, inclusiv în spitale publice și centre medicale.
Ambele fișiere executabile sunt în format Portable Executable, ceea ce sugerează că sunt destinate Windows. Sunt compilate și pentru x86. Este de remarcat faptul că sunt foarte asemănătoare între ele, doar CoViper este scris în Delphi, după cum o demonstrează data de compilare din 19 iunie 1992 și numele secțiunilor, iar CoronaVirus în C. Ambii sunt reprezentanți ai criptatorilor.
Ransomware sau ransomware sunt programe care, o dată pe computerul victimei, criptează fișierele utilizatorului, perturbă procesul normal de pornire a sistemului de operare și informează utilizatorul că trebuie să plătească atacatorii pentru a-l decripta.
După lansarea programului, acesta caută fișiere utilizator pe computer și le criptează. Ei efectuează căutări folosind funcții API standard, exemple de utilizare ale cărora pot fi găsite cu ușurință pe MSDN .
Fig.1 Căutare fișiere utilizator
După un timp, repornesc computerul și afișează un mesaj similar despre blocarea computerului.
Fig.2 Mesaj de blocare
Pentru a perturba procesul de pornire a sistemului de operare, ransomware-ul folosește o tehnică simplă de modificare a înregistrării de pornire (MBR) folosind API-ul Windows.
Fig.3 Modificarea înregistrării de pornire
Această metodă de exfiltrare a unui computer este folosită de multe alte ransomware: SmartRansom, Maze, ONI Ransomware, Bioskits, MBRlock Ransomware, HDDCryptor Ransomware, RedBoot, UselessDisk. Implementarea rescrierii MBR este disponibilă publicului larg odată cu apariția codurilor sursă pentru programe precum MBR Locker online. Confirmând acest lucru pe GitHub puteți găsi un număr mare de depozite cu cod sursă sau proiecte gata făcute pentru Visual Studio.
Compilarea acestui cod din GitHub , rezultatul este un program care dezactivează computerul utilizatorului în câteva secunde. Și durează aproximativ cinci sau zece minute pentru a-l asambla.
Se pare că, pentru a asambla malware rău intenționat, nu trebuie să aveți abilități sau resurse mari; oricine, oriunde o poate face. Codul este disponibil gratuit pe Internet și poate fi reprodus cu ușurință în programe similare. Asta mă pune pe gânduri. Aceasta este o problemă serioasă care necesită intervenție și luarea anumitor măsuri.
Sursa: www.habr.com