На тлі пандемії коронавірусу виникає відчуття того, що паралельно з нею спалахнула не менш масштабна цифрова епідемія.
Обидва ці файли мають формат Portable Executable, що говорить про те, що вони націлені на Windows. Також вони скомпільовані під x86. Примітно, що вони дуже схожі один на одного, тільки CoViper написаний на Delphi, про що свідчить дата компіляції 19 червня 1992 і імена секцій, а CoronaVirus на С. Обидва представники шифрувальників.
Шифрувальники-здирники або ransomware являють собою програми, які, потрапляючи на комп'ютер жертви, шифрують файли користувача, порушують нормальний процес завантаження операційної системи і інформують користувача про те, що для розшифровки йому потрібно заплатити зловмисникам.
Після запуску програми шукають файли користувача на комп'ютері і шифрують їх. Пошук вони виконують стандартними функціями API, приклади використання яких можна легко знайти на MSDN
Рис.1 Пошук файлів користувача
Через деякий час вони перезавантажують комп'ютер і виводять повідомлення про блокування комп'ютера.
Рис.2 Повідомлення про блокування
Для порушення процесу завантаження операційної системи шифрувальники використовують нехитрий прийом модифікації завантажувального запису (MBR)
Рис.3 Модифікація завантажувального запису
Такий спосіб виведення комп'ютера використовують багато інших шифрувальників SmartRansom, Maze, ONI Ransomware, Bioskits, MBRlock Ransomware, HDDCryptor Ransomware, RedBoot, UselessDisk. Реалізація перезапису MBR доступна широкому загалу з появою в мережі вихідних кодів таких програм як MBR Locker. На підтвердження цього на GitHub
Скомпілювавши цей код з GitHub
Виходить, щоб зібрати шкідливу малечу не потрібно мати великі навички або засоби, це може зробити хто завгодно і де завгодно. Код вільно гуляє в мережі і може спокійно розмножуватись у подібних програмах. Мене це змушує замислитись. Це серйозна проблема, яка потребує втручання та вжиття певних заходів.
Джерело: habr.com