V ozadju pandemije koronavirusa je občutek, da je vzporedno z njo izbruhnila prav tako obsežna digitalna epidemija.
Obe izvedljivi datoteki sta v formatu Portable Executable, kar nakazuje, da sta namenjeni sistemu Windows. Prevedeni so tudi za x86. Omeniti velja, da sta si med seboj zelo podobna, le CoViper je napisan v Delphiju, kar dokazuje datum kompilacije 19. junij 1992 in imena razdelkov, CoronaVirus pa v C. Oba sta predstavnika šifrirnikov.
Ransomware ali izsiljevalska programska oprema so programi, ki v računalniku žrtve šifrirajo uporabniške datoteke, zmotijo običajni zagonski proces operacijskega sistema in uporabnika obvestijo, da mora napadalcem plačati za dešifriranje.
Po zagonu program poišče uporabniške datoteke na računalniku in jih šifrira. Iskanja izvajajo s standardnimi API funkcijami, katerih primere uporabe lahko enostavno najdete na MSDN
Slika 1 Iskanje uporabniških datotek
Čez nekaj časa znova zaženejo računalnik in prikažejo podobno sporočilo o blokiranju računalnika.
Slika 2 Sporočilo o blokiranju
Da prekine zagonski proces operacijskega sistema, izsiljevalska programska oprema uporablja preprosto tehniko spreminjanja zagonskega zapisa (MBR).
Slika 3 Sprememba zagonskega zapisa
To metodo izločanja iz računalnika uporablja veliko drugih izsiljevalskih programov: SmartRansom, Maze, ONI Ransomware, Bioskits, MBRlock Ransomware, HDDCryptor Ransomware, RedBoot, UselessDisk. Izvedba prepisovanja MBR je na voljo širši javnosti s pojavom izvornih kod za programe, kot je MBR Locker na spletu. To potrjujem na GitHubu
Prevajanje te kode iz GitHub
Izkazalo se je, da za sestavljanje zlonamerne zlonamerne programske opreme ni treba imeti velikih veščin ali sredstev; to lahko stori kdorkoli in kjer koli. Koda je prosto dostopna na internetu in jo je mogoče zlahka reproducirati v podobnih programih. To mi da misliti. To je resen problem, ki zahteva posredovanje in sprejetje določenih ukrepov.
Vir: www.habr.com