Na pozadí pandémie koronavírusu existuje pocit, že súbežne s ňou vypukla rovnako rozsiahla digitálna epidémia.
Oba tieto spustiteľné súbory sú vo formáte Portable Executable, čo naznačuje, že sú zamerané na Windows. Sú tiež skompilované pre x86. Je pozoruhodné, že sú si navzájom veľmi podobné, len CoViper je napísaný v Delphi, o čom svedčí aj dátum kompilácie 19. júna 1992 a názvy sekcií a CoronaVirus v C. Obaja sú zástupcami šifrovačov.
Ransomvér alebo ransomvér sú programy, ktoré keď sa dostanú do počítača obete, zašifrujú používateľské súbory, narušia normálny proces zavádzania operačného systému a informujú používateľa, že musí zaplatiť útočníkom za jeho dešifrovanie.
Program po spustení vyhľadá v počítači používateľské súbory a zašifruje ich. Vyhľadávajú pomocou štandardných funkcií API, ktorých príklady použitia možno ľahko nájsť na MSDN
Obr.1 Vyhľadávanie užívateľských súborov
Po chvíli reštartujú počítač a zobrazia podobnú správu o zablokovaní počítača.
Obr.2 Správa o blokovaní
Na prerušenie procesu zavádzania operačného systému ransomvér používa jednoduchú techniku úpravy zavádzacieho záznamu (MBR)
Obr.3 Úprava bootovacieho záznamu
Tento spôsob exfiltrácie počítača používa mnoho ďalších ransomvéru: SmartRansom, Maze, ONI Ransomware, Bioskits, MBRlock Ransomware, HDDCryptor Ransomware, RedBoot, UselessDisk. Implementácia prepisovania MBR je dostupná širokej verejnosti so zobrazením zdrojových kódov pre programy ako MBR Locker online. Potvrdzujem to na GitHub
Kompilácia tohto kódu z GitHubu
Ukazuje sa, že na zostavenie škodlivého malvéru nepotrebujete veľké zručnosti ani zdroje, môže to urobiť ktokoľvek a kdekoľvek. Kód je voľne dostupný na internete a možno ho jednoducho reprodukovať v podobných programoch. Toto ma núti zamyslieť sa. Ide o vážny problém, ktorý si vyžaduje zásah a prijatie určitých opatrení.
Zdroj: hab.com