На тлі пандемії коронавірусу виникає відчуття того, що паралельно з нею спалахнула не менш масштабна цифрова епідемія. . Темпи зростання кількості фішингових сайтів, спаму, шахрайських ресурсів, малварі тощо шкідливої активності викликають серйозні побоювання. Про розмах свавілля, що твориться, говорить новина про те, що «здирники обіцяють не атакувати медичні установи» . Так, саме так: ті, хто під час пандемії стоїть на захисті життя та здоров'я людей, також зазнають атак шкідливого програмного забезпечення, як це було в Чехії, де шифрувальник-вимагач CoViper порушив роботу кількох лікарень. .
Виникає бажання зрозуміти, що є здирниками, що експлуатують коронавірусну тематику і чому вони так швидко з'являються. У мережі було знайдено зразки шкідливого ПЗ - CoViper і CoronaVirus, які атакували безліч комп'ютерів, у тому числі в державних лікарнях та медичних центрах.
Обидва ці файли мають формат Portable Executable, що говорить про те, що вони націлені на Windows. Також вони скомпільовані під x86. Примітно, що вони дуже схожі один на одного, тільки CoViper написаний на Delphi, про що свідчить дата компіляції 19 червня 1992 і імена секцій, а CoronaVirus на С. Обидва представники шифрувальників.
Шифрувальники-здирники або ransomware являють собою програми, які, потрапляючи на комп'ютер жертви, шифрують файли користувача, порушують нормальний процес завантаження операційної системи і інформують користувача про те, що для розшифровки йому потрібно заплатити зловмисникам.
Після запуску програми шукають файли користувача на комп'ютері і шифрують їх. Пошук вони виконують стандартними функціями API, приклади використання яких можна легко знайти на MSDN .
Рис.1 Пошук файлів користувача
Через деякий час вони перезавантажують комп'ютер і виводять повідомлення про блокування комп'ютера.
Рис.2 Повідомлення про блокування
Для порушення процесу завантаження операційної системи шифрувальники використовують нехитрий прийом модифікації завантажувального запису (MBR) за допомогою API Windows.
Рис.3 Модифікація завантажувального запису
Такий спосіб виведення комп'ютера використовують багато інших шифрувальників SmartRansom, Maze, ONI Ransomware, Bioskits, MBRlock Ransomware, HDDCryptor Ransomware, RedBoot, UselessDisk. Реалізація перезапису MBR доступна широкому загалу з появою в мережі вихідних кодів таких програм як MBR Locker. На підтвердження цього на GitHub можна знайти величезну кількість репозиторіїв із вихідним кодом або готовими проектами під Visual Studio.
Скомпілювавши цей код з GitHub , Виходить програма, яка виводить комп'ютер користувача з ладу за кілька секунд. І на складання її потрібно хвилин п'ять чи десять.
Виходить, щоб зібрати шкідливу малечу не потрібно мати великі навички або засоби, це може зробити хто завгодно і де завгодно. Код вільно гуляє в мережі і може спокійно розмножуватись у подібних програмах. Мене це змушує замислитись. Це серйозна проблема, яка потребує втручання та вжиття певних заходів.
Джерело: habr.com