Laban sa backdrop ng coronavirus pandemic, may pakiramdam na ang isang pantay na malakihang digital na epidemya ay sumiklab kasabay nito. . Ang rate ng paglaki sa bilang ng mga site ng phishing, spam, mapanlinlang na mapagkukunan, malware at mga katulad na nakakahamak na aktibidad ay nagdudulot ng malubhang alalahanin. Ang laki ng patuloy na paglabag sa batas ay ipinahihiwatig ng balita na "ang mga extortionist ay nangangako na hindi aatake sa mga institusyong medikal" . Oo, tama: ang mga nagpoprotekta sa buhay at kalusugan ng mga tao sa panahon ng pandemya ay napapailalim din sa mga pag-atake ng malware, tulad ng nangyari sa Czech Republic, kung saan ginulo ng CoViper ransomware ang trabaho ng ilang ospital. .
May pagnanais na maunawaan kung ano ang ransomware na nagsasamantala sa tema ng coronavirus at kung bakit mabilis itong lumalabas. May nakitang mga sample ng malware sa network - CoViper at CoronaVirus, na umatake sa maraming computer, kabilang ang mga pampublikong ospital at medical center.
Pareho sa mga executable file na ito ay nasa Portable Executable na format, na nagmumungkahi na ang mga ito ay nakatutok sa Windows. Ang mga ito ay pinagsama-sama din para sa x86. Kapansin-pansin na halos magkapareho sila sa isa't isa, tanging ang CoViper lamang ang nakasulat sa Delphi, na pinatunayan ng petsa ng compilation ng Hunyo 19, 1992 at mga pangalan ng seksyon, at CoronaVirus sa C. Parehong mga kinatawan ng mga encryptor.
Ang ransomware o ransomware ay mga program na, kapag nasa computer ng biktima, nag-encrypt ng mga file ng user, nakakagambala sa normal na proseso ng boot ng operating system, at nagpapaalam sa user na kailangan niyang bayaran ang mga umaatake para i-decrypt ito.
Pagkatapos ilunsad ang programa, naghahanap ito ng mga file ng user sa computer at ini-encrypt ang mga ito. Nagsasagawa sila ng mga paghahanap gamit ang karaniwang mga function ng API, ang mga halimbawa ng paggamit nito ay madaling mahanap sa MSDN .
Fig.1 Maghanap para sa mga file ng gumagamit
Pagkaraan ng ilang sandali, ini-restart nila ang computer at nagpapakita ng katulad na mensahe tungkol sa computer na na-block.
Fig.2 Pagharang sa mensahe
Upang maputol ang proseso ng pag-boot ng operating system, ang ransomware ay gumagamit ng isang simpleng pamamaraan ng pagbabago sa boot record (MBR) gamit ang Windows API.
Fig.3 Pagbabago ng boot record
Ang paraan ng pag-exfiltrate ng computer ay ginagamit ng maraming iba pang ransomware: SmartRansom, Maze, ONI Ransomware, Bioskits, MBRlock Ransomware, HDDCryptor Ransomware, RedBoot, UselessDisk. Ang pagpapatupad ng MBR rewriting ay magagamit sa pangkalahatang publiko na may hitsura ng mga source code para sa mga programa tulad ng MBR Locker online. Kinukumpirma ito sa GitHub makakahanap ka ng malaking bilang ng mga repository na may source code o mga handa na proyekto para sa Visual Studio.
Kino-compile ang code na ito mula sa GitHub , ang resulta ay isang program na hindi pinapagana ang computer ng user sa loob ng ilang segundo. At tumatagal ng mga lima o sampung minuto upang tipunin ito.
Lumalabas na upang makabuo ng nakakahamak na malware hindi mo kailangang magkaroon ng mahusay na mga kasanayan o mapagkukunan; kahit sino, kahit saan ay magagawa ito. Ang code ay malayang makukuha sa Internet at madaling mai-reproduce sa mga katulad na programa. Ito ang nagpapaisip sa akin. Ito ay isang seryosong problema na nangangailangan ng interbensyon at pagsasagawa ng ilang mga hakbang.
Pinagmulan: www.habr.com