ท่ามกลางฉากหลังของการแพร่ระบาดของไวรัสโคโรนา มีความรู้สึกว่าการแพร่ระบาดทางดิจิทัลขนาดใหญ่พอๆ กันนั้นได้เกิดขึ้นพร้อมๆ กัน . อัตราการเติบโตของจำนวนไซต์ฟิชชิ่ง สแปม ทรัพยากรที่ฉ้อโกง มัลแวร์ และกิจกรรมที่เป็นอันตรายที่คล้ายคลึงกัน ทำให้เกิดข้อกังวลร้ายแรง ขนาดของความละเลยกฎหมายที่ยังคงดำเนินอยู่เห็นได้จากข่าวที่ว่า “พวกกรรโชกทรัพย์สัญญาว่าจะไม่โจมตีสถาบันทางการแพทย์” . ใช่แล้ว ถูกต้องแล้ว: ผู้ที่ปกป้องชีวิตและสุขภาพของผู้คนในช่วงการแพร่ระบาดก็ถูกโจมตีด้วยมัลแวร์ เช่นเดียวกับในสาธารณรัฐเช็ก ซึ่งแรนซัมแวร์ CoViper ขัดขวางการทำงานของโรงพยาบาลหลายแห่ง .
มีความปรารถนาที่จะเข้าใจว่าแรนซัมแวร์ที่ใช้ประโยชน์จากธีมไวรัสโคโรนาคืออะไร และเหตุใดจึงปรากฏอย่างรวดเร็ว พบตัวอย่างมัลแวร์บนเครือข่าย CoViper และ CoronaVirus ซึ่งโจมตีคอมพิวเตอร์หลายเครื่อง รวมถึงในโรงพยาบาลของรัฐและศูนย์การแพทย์
ไฟล์ปฏิบัติการทั้งสองไฟล์อยู่ในรูปแบบ Portable Executable ซึ่งบ่งบอกว่าไฟล์เหล่านี้มุ่งเป้าไปที่ Windows พวกมันยังถูกคอมไพล์สำหรับ x86 ด้วย เป็นที่น่าสังเกตว่าพวกเขามีความคล้ายคลึงกันมาก มีเพียง CoViper เท่านั้นที่เขียนด้วยภาษา Delphi ตามหลักฐานจากวันที่รวบรวมวันที่ 19 มิถุนายน 1992 และชื่อส่วนและ CoronaVirus ใน C ทั้งสองเป็นตัวแทนของผู้เข้ารหัส
แรนซัมแวร์หรือแรนซัมแวร์คือโปรแกรมที่เข้ารหัสไฟล์ผู้ใช้เมื่ออยู่ในคอมพิวเตอร์ของเหยื่อ ขัดขวางกระบวนการบูตปกติของระบบปฏิบัติการ และแจ้งให้ผู้ใช้ทราบว่าเขาต้องจ่ายเงินให้ผู้โจมตีเพื่อถอดรหัส
หลังจากเปิดตัวโปรแกรม มันจะค้นหาไฟล์ผู้ใช้บนคอมพิวเตอร์และเข้ารหัส พวกเขาทำการค้นหาโดยใช้ฟังก์ชัน API มาตรฐาน ตัวอย่างการใช้งานสามารถพบได้ง่ายบน MSDN .
รูปที่ 1 ค้นหาไฟล์ผู้ใช้
หลังจากนั้นไม่นาน พวกเขาจะรีสตาร์ทคอมพิวเตอร์และแสดงข้อความที่คล้ายกันเกี่ยวกับคอมพิวเตอร์ที่ถูกบล็อก
รูปที่ 2 การบล็อกข้อความ
เพื่อขัดขวางกระบวนการบูตของระบบปฏิบัติการ ransomware จะใช้เทคนิคง่ายๆ ในการแก้ไขบันทึกการบูต (MBR) โดยใช้ Windows API
รูปที่ 3 การปรับเปลี่ยนบันทึกการบูต
วิธีการกรองคอมพิวเตอร์ด้วยวิธีนี้ใช้โดยแรนซัมแวร์อื่นๆ มากมาย: SmartRansom, Maze, ONI Ransomware, Bioskits, MBRlock Ransomware, HDDCryptor Ransomware, RedBoot, UselessDisk การดำเนินการเขียนใหม่ MBR นั้นมีให้สำหรับบุคคลทั่วไปโดยมีลักษณะเป็นซอร์สโค้ดสำหรับโปรแกรมเช่น MBR Locker ทางออนไลน์ ยืนยันสิ่งนี้บน GitHub คุณสามารถค้นหาแหล่งเก็บข้อมูลจำนวนมากพร้อมซอร์สโค้ดหรือโปรเจ็กต์สำเร็จรูปสำหรับ Visual Studio
รวบรวมโค้ดนี้จาก GitHub ผลลัพธ์ก็คือโปรแกรมที่จะปิดการใช้งานคอมพิวเตอร์ของผู้ใช้ภายในไม่กี่วินาที และใช้เวลาประมาณห้าหรือสิบนาทีในการประกอบ
ปรากฎว่าในการรวบรวมมัลแวร์ที่เป็นอันตราย คุณไม่จำเป็นต้องมีทักษะหรือทรัพยากรที่ดี ใครๆ ก็สามารถทำได้จากทุกที่ รหัสนี้มีให้บริการฟรีบนอินเทอร์เน็ตและสามารถทำซ้ำได้อย่างง่ายดายในโปรแกรมที่คล้ายกัน นี่ทำให้ฉันคิด นี่เป็นปัญหาร้ายแรงที่ต้องมีการแทรกแซงและดำเนินมาตรการบางอย่าง
ที่มา: will.com