Ngalawan latar tukang pandémik coronavirus, aya parasaan yén wabah digital skala ageung parantos paralel sareng éta. . Laju tumuwuhna jumlah situs phishing, spam, sumberdaya curang, malware jeung kagiatan jahat sarupa raises masalah serius. Skala pelanggaran hukum anu lumangsung dituduhkeun ku warta yén "extortionists janji moal nyerang lembaga médis" . Leres, éta leres: jalma anu ngajagi kahirupan sareng kaséhatan masarakat salami pandémik ogé tunduk kana serangan malware, sapertos anu aya di Républik Céko, dimana ransomware CoViper ngaganggu padamelan sababaraha rumah sakit. .
Aya kahayang pikeun ngartos naon ransomware anu ngamangpaatkeun téma coronavirus sareng kunaon aranjeunna muncul gancang pisan. Sampel malware kapanggih dina jaringan - CoViper sareng CoronaVirus, anu nyerang seueur komputer, kalebet di rumah sakit umum sareng pusat médis.
Kadua file anu tiasa dieksekusi ieu dina format anu tiasa dieksekusi portabel, anu nunjukkeun yén aranjeunna ditujukeun ka Windows. Éta ogé disusun pikeun x86. Éta noteworthy yén maranéhna pisan sarupa silih, ngan CoViper ditulis dina Delphi, sakumaha dibuktikeun ku tanggal kompilasi Juni 19, 1992 jeung ngaran bagian, sarta CoronaVirus dina C. Duanana mangrupakeun wawakil encryptors.
Ransomware atanapi ransomware mangrupikeun program anu, sakali dina komputer korban, énkripsi file pangguna, ngaganggu prosés boot normal tina sistem operasi, sareng ngawartosan pangguna yén anjeunna kedah mayar panyerang pikeun ngadekrip éta.
Saatos ngaluncurkeun program, éta milarian file pangguna dina komputer sareng énkripsi. Aranjeunna ngalaksanakeun pamilarian nganggo fungsi API standar, conto pamakean anu tiasa dipendakan dina MSDN .
Gbr.1 Pilarian file pamaké
Saatos sababaraha waktos, aranjeunna ngabalikan deui komputer sareng ningalikeun pesen anu sami ngeunaan komputer anu diblokir.
Gbr.2 pesen blocking
Pikeun ngaganggu prosés boot sistem operasi, ransomware ngagunakeun téknik saderhana pikeun ngarobih catetan boot (MBR). ngagunakeun Windows API.
Gbr.3 Modifikasi catetan boot
Metoda exfiltrating komputer ieu dipaké ku loba ransomware séjén: SmartRansom, Maze, ONI Ransomware, Bioskits, MBRlock Ransomware, HDDCryptor Ransomware, RedBoot, UselessDisk. Palaksanaan nulis ulang MBR sayogi pikeun masarakat umum kalayan munculna kode sumber pikeun program sapertos MBR Locker online. Konfirmasi ieu dina GitHub anjeun tiasa mendakan sajumlah ageung repositori nganggo kode sumber atanapi proyék siap-siap pikeun Visual Studio.
Nyusun kode ieu ti GitHub , hasilna mangrupakeun program nu disables komputer pamaké dina sababaraha detik. Sareng peryogi sakitar lima atanapi sapuluh menit kanggo ngumpulna.
Tétéla yén pikeun ngumpul malware jahat anjeun henteu kedah gaduh kaahlian atanapi sumber daya anu hébat; saha waé, dimana waé tiasa ngalakukeun éta. Kodeu sayogi gratis dina Internét sareng tiasa gampang diproduksi dina program anu sami. Ieu ngajadikeun kuring mikir. Ieu masalah serius anu merlukeun campur jeung nyokot ukuran tangtu.
sumber: www.habr.com