У контексту пандемије коронавируса, постоји осећај да је паралелно са њом избила и дигитална епидемија једнако великих размера. . Стопа раста броја пхисхинг сајтова, нежељене поште, лажних ресурса, малвера и сличних злонамерних активности изазива озбиљну забринутост. На размере безакоња која је у току, говори вест да „изнуђивачи обећавају да неће нападати медицинске установе“ . Да, тако је: они који штите животе и здравље људи током пандемије такође су подложни нападима малвера, као што је био случај у Чешкој, где је ЦоВипер рансомваре пореметио рад неколико болница .
Постоји жеља да се разуме шта је рансомвер који искоришћава тему коронавируса и зашто се тако брзо појављују. На мрежи су пронађени узорци злонамерног софтвера - ЦоВипер и ЦоронаВирус, који су напали многе рачунаре, укључујући јавне болнице и медицинске центре.
Обе ове извршне датотеке су у Портабле Екецутабле формату, што сугерише да су намењене Виндовс-у. Они су такође компајлирани за к86. Важно је напоменути да су међусобно веома слични, само је ЦоВипер написан у Делпхију, о чему сведоче датум компилације 19. јун 1992. и називи секција, и ЦоронаВирус у Ц. Оба су представници енкриптора.
Рансомваре или рансомваре су програми који, када се једном нађу на рачунару жртве, шифрују корисничке датотеке, ометају нормалан процес покретања оперативног система и обавештавају корисника да треба да плати нападачима да га дешифрују.
Након покретања програма, он тражи корисничке датотеке на рачунару и шифрује их. Они врше претрагу користећи стандардне АПИ функције, чије се примере коришћења лако може наћи на МСДН-у .
Сл.1 Претрага корисничких датотека
Након неког времена, поново покрећу рачунар и приказују сличну поруку о блокирању рачунара.
Сл.2 Порука о блокирању
Да би пореметио процес покретања оперативног система, рансомваре користи једноставну технику модификације записа о покретању (МБР) користећи Виндовс АПИ.
Сл.3 Модификација евиденције покретања
Овај метод ексфилтрације рачунара користе многи други рансомваре: СмартРансом, Мазе, ОНИ Рансомваре, Биоскитс, МБРлоцк Рансомваре, ХДДЦриптор Рансомваре, РедБоот, УселессДиск. Имплементација МБР преписивања доступна је широј јавности са појавом изворних кодова за програме као што је МБР Лоцкер на мрежи. Потврђујем ово на ГитХуб-у можете пронаћи огроман број складишта са изворним кодом или готовим пројектима за Висуал Студио.
Компајлирање овог кода са ГитХуб-а , резултат је програм који онемогућава рачунар корисника за неколико секунди. И потребно је око пет или десет минута да се састави.
Испоставило се да за састављање злонамерног злонамерног софтвера не морате имати велике вештине или ресурсе; свако, било где, то може да уради. Код је слободно доступан на Интернету и лако се може репродуковати у сличним програмима. Ово ме тера на размишљање. Ово је озбиљан проблем који захтева интервенцију и предузимање одређених мера.
Извор: ввв.хабр.цом