V ozadju pandemije koronavirusa je občutek, da je vzporedno z njo izbruhnila prav tako obsežna digitalna epidemija. . Stopnja rasti števila spletnih mest z lažnim predstavljanjem, vsiljene pošte, goljufivih virov, zlonamerne programske opreme in podobnih zlonamernih dejavnosti vzbuja resne pomisleke. O razsežnosti brezpravja, ki se nadaljuje, nakazuje novica, da »izsiljevalci obljubljajo, da ne bodo napadali zdravstvenih ustanov« . Da, tako je: tudi tisti, ki med pandemijo varujejo življenja in zdravje ljudi, so izpostavljeni napadom zlonamerne programske opreme, kot je bilo na Češkem, kjer je izsiljevalska programska oprema CoViper motila delo več bolnišnic. .
Obstaja želja po razumevanju, kaj je izsiljevalska programska oprema, ki izkorišča temo koronavirusa, in zakaj se pojavlja tako hitro. V omrežju so bili najdeni vzorci zlonamerne programske opreme - CoViper in CoronaVirus, ki sta napadla številne računalnike, tudi v javnih bolnišnicah in zdravstvenih domovih.
Obe izvedljivi datoteki sta v formatu Portable Executable, kar nakazuje, da sta namenjeni sistemu Windows. Prevedeni so tudi za x86. Omeniti velja, da sta si med seboj zelo podobna, le CoViper je napisan v Delphiju, kar dokazuje datum kompilacije 19. junij 1992 in imena razdelkov, CoronaVirus pa v C. Oba sta predstavnika šifrirnikov.
Ransomware ali izsiljevalska programska oprema so programi, ki v računalniku žrtve šifrirajo uporabniške datoteke, zmotijo običajni zagonski proces operacijskega sistema in uporabnika obvestijo, da mora napadalcem plačati za dešifriranje.
Po zagonu program poišče uporabniške datoteke na računalniku in jih šifrira. Iskanja izvajajo s standardnimi API funkcijami, katerih primere uporabe lahko enostavno najdete na MSDN .
Slika 1 Iskanje uporabniških datotek
Čez nekaj časa znova zaženejo računalnik in prikažejo podobno sporočilo o blokiranju računalnika.
Slika 2 Sporočilo o blokiranju
Da prekine zagonski proces operacijskega sistema, izsiljevalska programska oprema uporablja preprosto tehniko spreminjanja zagonskega zapisa (MBR). z uporabo Windows API-ja.
Slika 3 Sprememba zagonskega zapisa
To metodo izločanja iz računalnika uporablja veliko drugih izsiljevalskih programov: SmartRansom, Maze, ONI Ransomware, Bioskits, MBRlock Ransomware, HDDCryptor Ransomware, RedBoot, UselessDisk. Izvedba prepisovanja MBR je na voljo širši javnosti s pojavom izvornih kod za programe, kot je MBR Locker na spletu. To potrjujem na GitHubu najdete ogromno repozitorijev z izvorno kodo ali že pripravljenimi projekti za Visual Studio.
Prevajanje te kode iz GitHub , rezultat je program, ki v nekaj sekundah onemogoči uporabnikov računalnik. In traja približno pet ali deset minut, da ga sestavite.
Izkazalo se je, da za sestavljanje zlonamerne zlonamerne programske opreme ni treba imeti velikih veščin ali sredstev; to lahko stori kdorkoli in kjer koli. Koda je prosto dostopna na internetu in jo je mogoče zlahka reproducirati v podobnih programih. To mi da misliti. To je resen problem, ki zahteva posredovanje in sprejetje določenih ukrepov.
Vir: www.habr.com