Mot bakgrund av coronavirus-pandemin finns en känsla av att en lika storskalig digital epidemi har brutit ut parallellt med den.
Båda dessa körbara filer är i Portable Executable-format, vilket tyder på att de är riktade mot Windows. De är också kompilerade för x86. Det är anmärkningsvärt att de är väldigt lika varandra, endast CoViper är skriven i Delphi, vilket framgår av sammanställningsdatumet 19 juni 1992 och sektionsnamn, och CoronaVirus i C. Båda är representanter för kryptörer.
Ransomware eller ransomware är program som, en gång på ett offers dator, krypterar användarfiler, stör den normala uppstartsprocessen för operativsystemet och informerar användaren om att han måste betala angriparna för att dekryptera det.
Efter att ha startat programmet söker det efter användarfiler på datorn och krypterar dem. De utför sökningar med hjälp av standard-API-funktioner, exempel på användning som lätt kan hittas på MSDN
Fig.1 Sök efter användarfiler
Efter ett tag startar de om datorn och visar ett liknande meddelande om att datorn är blockerad.
Fig.2 Blockeringsmeddelande
För att störa uppstartsprocessen för operativsystemet använder ransomware en enkel teknik för att modifiera startposten (MBR)
Fig.3 Ändring av startposten
Denna metod för att exfiltrera en dator används av många andra ransomware: SmartRansom, Maze, ONI Ransomware, Bioskits, MBRlock Ransomware, HDDCryptor Ransomware, RedBoot, UselessDisk. Implementeringen av MBR-omskrivning är tillgänglig för allmänheten med uppkomsten av källkoder för program som MBR Locker online. Bekräftar detta på GitHub
Kompilerar den här koden från GitHub
Det visar sig att för att montera skadlig skadlig programvara behöver du inte ha stora kunskaper eller resurser, vem som helst, var som helst, kan göra det. Koden är fritt tillgänglig på Internet och kan enkelt reproduceras i liknande program. Det här får mig att tänka. Detta är ett allvarligt problem som kräver ingripande och att vissa åtgärder vidtas.
Källa: will.com