ท่ามกลางฉากหลังของการแพร่ระบาดของไวรัสโคโรนา มีความรู้สึกว่าการแพร่ระบาดทางดิจิทัลขนาดใหญ่พอๆ กันนั้นได้เกิดขึ้นพร้อมๆ กัน
ไฟล์ปฏิบัติการทั้งสองไฟล์อยู่ในรูปแบบ Portable Executable ซึ่งบ่งบอกว่าไฟล์เหล่านี้มุ่งเป้าไปที่ Windows พวกมันยังถูกคอมไพล์สำหรับ x86 ด้วย เป็นที่น่าสังเกตว่าพวกเขามีความคล้ายคลึงกันมาก มีเพียง CoViper เท่านั้นที่เขียนด้วยภาษา Delphi ตามหลักฐานจากวันที่รวบรวมวันที่ 19 มิถุนายน 1992 และชื่อส่วนและ CoronaVirus ใน C ทั้งสองเป็นตัวแทนของผู้เข้ารหัส
แรนซัมแวร์หรือแรนซัมแวร์คือโปรแกรมที่เข้ารหัสไฟล์ผู้ใช้เมื่ออยู่ในคอมพิวเตอร์ของเหยื่อ ขัดขวางกระบวนการบูตปกติของระบบปฏิบัติการ และแจ้งให้ผู้ใช้ทราบว่าเขาต้องจ่ายเงินให้ผู้โจมตีเพื่อถอดรหัส
หลังจากเปิดตัวโปรแกรม มันจะค้นหาไฟล์ผู้ใช้บนคอมพิวเตอร์และเข้ารหัส พวกเขาทำการค้นหาโดยใช้ฟังก์ชัน API มาตรฐาน ตัวอย่างการใช้งานสามารถพบได้ง่ายบน MSDN
รูปที่ 1 ค้นหาไฟล์ผู้ใช้
หลังจากนั้นไม่นาน พวกเขาจะรีสตาร์ทคอมพิวเตอร์และแสดงข้อความที่คล้ายกันเกี่ยวกับคอมพิวเตอร์ที่ถูกบล็อก
รูปที่ 2 การบล็อกข้อความ
เพื่อขัดขวางกระบวนการบูตของระบบปฏิบัติการ ransomware จะใช้เทคนิคง่ายๆ ในการแก้ไขบันทึกการบูต (MBR)
รูปที่ 3 การปรับเปลี่ยนบันทึกการบูต
วิธีการกรองคอมพิวเตอร์ด้วยวิธีนี้ใช้โดยแรนซัมแวร์อื่นๆ มากมาย: SmartRansom, Maze, ONI Ransomware, Bioskits, MBRlock Ransomware, HDDCryptor Ransomware, RedBoot, UselessDisk การดำเนินการเขียนใหม่ MBR นั้นมีให้สำหรับบุคคลทั่วไปโดยมีลักษณะเป็นซอร์สโค้ดสำหรับโปรแกรมเช่น MBR Locker ทางออนไลน์ ยืนยันสิ่งนี้บน GitHub
รวบรวมโค้ดนี้จาก GitHub
ปรากฎว่าในการรวบรวมมัลแวร์ที่เป็นอันตราย คุณไม่จำเป็นต้องมีทักษะหรือทรัพยากรที่ดี ใครๆ ก็สามารถทำได้จากทุกที่ รหัสนี้มีให้บริการฟรีบนอินเทอร์เน็ตและสามารถทำซ้ำได้อย่างง่ายดายในโปรแกรมที่คล้ายกัน นี่ทำให้ฉันคิด นี่เป็นปัญหาร้ายแรงที่ต้องมีการแทรกแซงและดำเนินมาตรการบางอย่าง
ที่มา: will.com