Mot bakgrund av coronavirus-pandemin finns en känsla av att en lika storskalig digital epidemi har brutit ut parallellt med den. . Tillväxttakten i antalet nätfiskewebbplatser, skräppost, bedrägliga resurser, skadlig programvara och liknande skadlig aktivitet väcker allvarliga farhågor. Omfattningen av den pågående laglösheten indikeras av nyheten att "utpressare lovar att inte attackera medicinska institutioner" . Ja, det stämmer: de som skyddar människors liv och hälsa under pandemin utsätts också för malwareattacker, vilket var fallet i Tjeckien, där CoViper ransomware störde arbetet på flera sjukhus .
Det finns en önskan att förstå vad ransomware som utnyttjar coronavirus-temat är och varför de dyker upp så snabbt. Skadlig programvara hittades på nätverket - CoViper och CoronaVirus, som attackerade många datorer, inklusive på offentliga sjukhus och vårdcentraler.
Båda dessa körbara filer är i Portable Executable-format, vilket tyder på att de är riktade mot Windows. De är också kompilerade för x86. Det är anmärkningsvärt att de är väldigt lika varandra, endast CoViper är skriven i Delphi, vilket framgår av sammanställningsdatumet 19 juni 1992 och sektionsnamn, och CoronaVirus i C. Båda är representanter för kryptörer.
Ransomware eller ransomware är program som, en gång på ett offers dator, krypterar användarfiler, stör den normala uppstartsprocessen för operativsystemet och informerar användaren om att han måste betala angriparna för att dekryptera det.
Efter att ha startat programmet söker det efter användarfiler på datorn och krypterar dem. De utför sökningar med hjälp av standard-API-funktioner, exempel på användning som lätt kan hittas på MSDN .
Fig.1 Sök efter användarfiler
Efter ett tag startar de om datorn och visar ett liknande meddelande om att datorn är blockerad.
Fig.2 Blockeringsmeddelande
För att störa uppstartsprocessen för operativsystemet använder ransomware en enkel teknik för att modifiera startposten (MBR) med hjälp av Windows API.
Fig.3 Ändring av startposten
Denna metod för att exfiltrera en dator används av många andra ransomware: SmartRansom, Maze, ONI Ransomware, Bioskits, MBRlock Ransomware, HDDCryptor Ransomware, RedBoot, UselessDisk. Implementeringen av MBR-omskrivning är tillgänglig för allmänheten med uppkomsten av källkoder för program som MBR Locker online. Bekräftar detta på GitHub du kan hitta ett stort antal arkiv med källkod eller färdiga projekt för Visual Studio.
Kompilerar den här koden från GitHub , resultatet är ett program som inaktiverar användarens dator på några sekunder. Och det tar ungefär fem eller tio minuter att montera den.
Det visar sig att för att montera skadlig skadlig programvara behöver du inte ha stora kunskaper eller resurser, vem som helst, var som helst, kan göra det. Koden är fritt tillgänglig på Internet och kan enkelt reproduceras i liknande program. Det här får mig att tänka. Detta är ett allvarligt problem som kräver ingripande och att vissa åtgärder vidtas.
Källa: will.com