Na pozadí pandémie koronavírusu existuje pocit, že súbežne s ňou vypukla rovnako rozsiahla digitálna epidémia. . Miera rastu počtu phishingových stránok, spamu, podvodných zdrojov, malvéru a podobnej zákernej činnosti vyvoláva vážne obavy. Rozsah pretrvávajúcej nezákonnosti naznačuje správa, že „vydierači sľubujú, že nebudú útočiť na zdravotnícke zariadenia“ . Áno, je to tak: tí, ktorí počas pandémie chránia životy a zdravie ľudí, sú tiež vystavení útokom škodlivého softvéru, ako tomu bolo v Českej republike, kde ransomvér CoViper narušil prácu niekoľkých nemocníc. .
Existuje túžba pochopiť, čo je ransomvér využívajúci tému koronavírusu a prečo sa objavujú tak rýchlo. V sieti boli nájdené vzorky malvéru – CoViper a CoronaVirus, ktoré napadli mnohé počítače vrátane verejných nemocníc a zdravotníckych stredísk.
Oba tieto spustiteľné súbory sú vo formáte Portable Executable, čo naznačuje, že sú zamerané na Windows. Sú tiež skompilované pre x86. Je pozoruhodné, že sú si navzájom veľmi podobné, len CoViper je napísaný v Delphi, o čom svedčí aj dátum kompilácie 19. júna 1992 a názvy sekcií a CoronaVirus v C. Obaja sú zástupcami šifrovačov.
Ransomvér alebo ransomvér sú programy, ktoré keď sa dostanú do počítača obete, zašifrujú používateľské súbory, narušia normálny proces zavádzania operačného systému a informujú používateľa, že musí zaplatiť útočníkom za jeho dešifrovanie.
Program po spustení vyhľadá v počítači používateľské súbory a zašifruje ich. Vyhľadávajú pomocou štandardných funkcií API, ktorých príklady použitia možno ľahko nájsť na MSDN .
Obr.1 Vyhľadávanie užívateľských súborov
Po chvíli reštartujú počítač a zobrazia podobnú správu o zablokovaní počítača.
Obr.2 Správa o blokovaní
Na prerušenie procesu zavádzania operačného systému ransomvér používa jednoduchú techniku úpravy zavádzacieho záznamu (MBR) pomocou Windows API.
Obr.3 Úprava bootovacieho záznamu
Tento spôsob exfiltrácie počítača používa mnoho ďalších ransomvéru: SmartRansom, Maze, ONI Ransomware, Bioskits, MBRlock Ransomware, HDDCryptor Ransomware, RedBoot, UselessDisk. Implementácia prepisovania MBR je dostupná širokej verejnosti so zobrazením zdrojových kódov pre programy ako MBR Locker online. Potvrdzujem to na GitHub môžete nájsť obrovské množstvo repozitárov so zdrojovým kódom alebo hotovými projektmi pre Visual Studio.
Kompilácia tohto kódu z GitHubu výsledkom je program, ktorý v priebehu niekoľkých sekúnd deaktivuje počítač používateľa. A jeho zostavenie trvá asi päť alebo desať minút.
Ukazuje sa, že na zostavenie škodlivého malvéru nepotrebujete veľké zručnosti ani zdroje, môže to urobiť ktokoľvek a kdekoľvek. Kód je voľne dostupný na internete a možno ho jednoducho reprodukovať v podobných programoch. Toto ma núti zamyslieť sa. Ide o vážny problém, ktorý si vyžaduje zásah a prijatie určitých opatrení.
Zdroj: hab.com