Korona virüs salgınının arka planında, buna paralel olarak aynı derecede büyük ölçekli bir dijital salgının da patlak verdiğine dair bir his var. . Kimlik avı siteleri, spam, dolandırıcılık kaynakları, kötü amaçlı yazılımlar ve benzeri kötü amaçlı faaliyetlerin sayısındaki artış ciddi endişelere yol açmaktadır. Devam eden hukuksuzluğun boyutu, “gaspçıların sağlık kurumlarına saldırmayacaklarına söz verdikleri” haberiyle ortaya çıkıyor . Evet, doğru: CoViper fidye yazılımının birçok hastanenin işleyişini aksattığı Çek Cumhuriyeti'nde olduğu gibi, salgın sırasında insanların hayatlarını ve sağlığını koruyanlar da kötü amaçlı yazılım saldırılarına maruz kalıyor .
Coronavirüs temasını istismar eden fidye yazılımlarının ne olduğunu ve neden bu kadar hızlı ortaya çıktıklarını anlama isteği var. Ağda, kamu hastaneleri ve tıp merkezleri de dahil olmak üzere birçok bilgisayara saldıran CoViper ve CoronaVirus adlı kötü amaçlı yazılım örnekleri bulundu.
Bu yürütülebilir dosyaların her ikisi de Taşınabilir Yürütülebilir dosya biçimindedir, bu da bunların Windows'a yönelik olduğunu gösterir. Ayrıca x86 için derlenmişlerdir. Birbirlerine çok benzemeleri dikkat çekicidir, 19 Haziran 1992 derleme tarihi ve bölüm adlarından da anlaşılacağı üzere Delphi'de yalnızca CoViper ve C'de CoronaVirus yazılmaktadır. Her ikisi de şifreleyicilerin temsilcileridir.
Fidye yazılımı veya fidye yazılımı, kurbanın bilgisayarına girdiğinde kullanıcı dosyalarını şifreleyen, işletim sisteminin normal önyükleme sürecini bozan ve kullanıcıya, şifreyi çözmeleri için saldırganlara ödeme yapması gerektiğini bildiren programlardır.
Programı başlattıktan sonra bilgisayardaki kullanıcı dosyalarını arar ve bunları şifreler. Aramaları, kullanım örnekleri MSDN'de kolayca bulunabilen standart API işlevlerini kullanarak gerçekleştirirler. .
Şekil 1 Kullanıcı dosyalarını arama
Bir süre sonra bilgisayarı yeniden başlatıp bilgisayarın engellendiğine dair benzer bir mesaj görüntülerler.
Şekil 2 Engelleme mesajı
Fidye yazılımı, işletim sisteminin önyükleme sürecini bozmak için önyükleme kaydını (MBR) değiştirmek gibi basit bir teknik kullanır. Windows API'sini kullanarak.
Şekil 3 Önyükleme kaydının değiştirilmesi
Bir bilgisayara sızmanın bu yöntemi diğer birçok fidye yazılımı tarafından kullanılır: SmartRansom, Maze, ONI Ransomware, Bioskits, MBRlock Ransomware, HDDCryptor Ransomware, RedBoot, UselessDisk. MBR'nin yeniden yazılmasının uygulanması, MBR Locker gibi programların kaynak kodlarının çevrimiçi olarak ortaya çıkmasıyla birlikte genel kullanıma açıktır. Bunu GitHub'da doğrulamak Visual Studio için kaynak kodlu veya hazır projeler içeren çok sayıda depo bulabilirsiniz.
Bu kodu GitHub'dan derlemek sonuç, kullanıcının bilgisayarını birkaç saniye içinde devre dışı bırakan bir programdır. Ve montajı yaklaşık beş veya on dakika sürer.
Kötü amaçlı kötü amaçlı yazılım oluşturmak için çok iyi becerilere veya kaynaklara sahip olmanıza gerek olmadığı ortaya çıktı; bunu herkes, her yerde yapabilir. Kod internette ücretsiz olarak mevcuttur ve benzer programlarda kolayca çoğaltılabilir. Bu beni düşündürüyor. Bu, müdahale ve belli önlemlerin alınmasını gerektiren ciddi bir sorundur.
Kaynak: habr.com