Në sfondin e pandemisë së koronavirusit, ekziston një ndjenjë se paralelisht me të ka shpërthyer një epidemi dixhitale po aq e madhe. . Shkalla e rritjes së numrit të faqeve të phishing, mesazheve të padëshiruara, burimeve mashtruese, malware dhe aktiviteteve të ngjashme me qëllim të keq ngre shqetësime serioze. Shkalla e paligjshmërisë së vazhdueshme tregohet nga lajmi se "zhvatësit premtojnë të mos sulmojnë institucionet mjekësore" . Po, është e drejtë: ata që mbrojnë jetën dhe shëndetin e njerëzve gjatë pandemisë janë gjithashtu subjekt i sulmeve malware, siç ishte rasti në Republikën Çeke, ku ransomware CoViper ndërpreu punën e disa spitaleve .
Ekziston një dëshirë për të kuptuar se çfarë është ransomware që shfrytëzon temën e koronavirusit dhe pse ato po shfaqen kaq shpejt. Mostrat e malware u gjetën në rrjet - CoViper dhe CoronaVirus, të cilët sulmuan shumë kompjuterë, duke përfshirë spitalet publike dhe qendrat mjekësore.
Të dy këta skedarë të ekzekutueshëm janë në formatin Portable Executable, gjë që sugjeron se ato synojnë Windows. Ato janë përpiluar gjithashtu për x86. Vlen të përmendet se ato janë shumë të ngjashme me njëri-tjetrin, vetëm CoViper është shkruar në Delphi, siç dëshmohet nga data e përpilimit të 19 qershorit 1992 dhe emrat e seksioneve, dhe CoronaVirus në C. Të dy janë përfaqësues të enkriptuesve.
Ransomware ose ransomware janë programe që, një herë në kompjuterin e viktimës, enkriptojnë skedarët e përdoruesit, ndërpresin procesin normal të nisjes së sistemit operativ dhe informojnë përdoruesin se duhet të paguajë sulmuesit për ta deshifruar atë.
Pas nisjes së programit, ai kërkon skedarët e përdoruesit në kompjuter dhe i kodon ato. Ata kryejnë kërkime duke përdorur funksione standarde API, shembuj të përdorimit të të cilave mund të gjenden lehtësisht në MSDN .
Fig.1 Kërko për skedarët e përdoruesve
Pas një kohe, ata rinisin kompjuterin dhe shfaqin një mesazh të ngjashëm për bllokimin e kompjuterit.
Fig.2 Mesazh bllokimi
Për të ndërprerë procesin e nisjes së sistemit operativ, ransomware përdor një teknikë të thjeshtë të modifikimit të regjistrimit të nisjes (MBR) duke përdorur API-në e Windows.
Fig.3 Modifikimi i regjistrimit të nisjes
Kjo metodë e ekfiltrimit të një kompjuteri përdoret nga shumë ransomware të tjerë: SmartRansom, Maze, ONI Ransomware, Bioskits, MBRlock Ransomware, HDDCryptor Ransomware, RedBoot, UselessDisk. Zbatimi i rishkrimit MBR është i disponueshëm për publikun e gjerë me shfaqjen e kodeve burimore për programe të tilla si MBR Locker në internet. Duke e konfirmuar këtë në GitHub mund të gjeni një numër të madh deposh me kod burim ose projekte të gatshme për Visual Studio.
Përpilimi i këtij kodi nga GitHub , rezultati është një program që çaktivizon kompjuterin e përdoruesit në pak sekonda. Dhe duhen rreth pesë ose dhjetë minuta për ta montuar atë.
Rezulton se për të mbledhur malware me qëllim të keq, nuk keni nevojë të keni aftësi ose burime të mëdha; kushdo, kudo mund ta bëjë këtë. Kodi është i disponueshëm lirisht në internet dhe mund të riprodhohet lehtësisht në programe të ngjashme. Kjo më bën të mendoj. Ky është një problem serioz që kërkon ndërhyrje dhe marrjen e masave të caktuara.
Burimi: www.habr.com