Koronavirus pandemiyasi fonida unga parallel ravishda bir xil darajada keng koΚ»lamli raqamli epidemiya boshlangani sezilmoqda. . Fishing saytlari, spamlar, firibgar resurslar, zararli dasturlar va shunga o'xshash zararli harakatlar sonining o'sish sur'ati jiddiy tashvish uyg'otadi. Davom etayotgan qonunbuzarliklar ko'lamini "tovlamachilar tibbiyot muassasalariga hujum qilmaslikka va'da berishmoqda" degan xabardan dalolat beradi. . Ha, bu to'g'ri: pandemiya davrida odamlarning hayoti va sog'lig'ini himoya qiladiganlar ham zararli dastur hujumlariga duchor bo'lishadi, xuddi CoViper to'lov dasturi bir nechta shifoxonalar ishini to'xtatgan Chexiyada bo'lgani kabi. .
Koronavirus mavzusidan foydalanadigan to'lov dasturi nima ekanligini va nima uchun ular tez paydo bo'lishini tushunish istagi bor. Tarmoqda zararli dastur namunalari topildi - CoViper va CoronaVirus, ular ko'plab kompyuterlarga, shu jumladan davlat shifoxonalari va tibbiyot markazlariga hujum qildi.
Ushbu bajariladigan fayllarning ikkalasi ham Portable Executable formatida bo'lib, ular Windows uchun mo'ljallanganligini ko'rsatadi. Ular x86 uchun ham tuzilgan. Shunisi e'tiborga loyiqki, ular bir-biriga juda o'xshash, Delphida faqat CoViper yozilgan, 19 yil 1992 iyundagi kompilyatsiya sanasi va bo'limlar nomlari, C.dagi CoronaVirus ikkalasi ham shifrlovchilarning vakillari.
Ransomware yoki ransomware - bu jabrlanuvchining kompyuterida foydalanuvchi fayllarini shifrlaydigan, operatsion tizimning normal yuklash jarayonini buzadigan va foydalanuvchiga uning shifrini ochish uchun tajovuzkorlarga pul to'lashi kerakligini bildiradigan dasturlar.
Dasturni ishga tushirgandan so'ng, u kompyuterda foydalanuvchi fayllarini qidiradi va ularni shifrlaydi. Ular standart API funktsiyalari yordamida qidiruvlarni amalga oshiradilar, ulardan foydalanish misollarini MSDN-da osongina topish mumkin .
Fig.1 Foydalanuvchi fayllarini qidirish
Bir muncha vaqt o'tgach, ular kompyuterni qayta ishga tushiradilar va bloklangan kompyuter haqida shunga o'xshash xabarni ko'rsatadilar.
2-rasm Bloklash xabari
Operatsion tizimning yuklash jarayonini buzish uchun ransomware yuklash yozuvini (MBR) o'zgartirishning oddiy usulidan foydalanadi. Windows API yordamida.
Fig.3 Yuklash yozuvini o'zgartirish
Kompyuterni eksfiltratsiya qilishning ushbu usuli boshqa ko'plab to'lov dasturlari tomonidan qo'llaniladi: SmartRansom, Maze, ONI Ransomware, Bioskits, MBRlock Ransomware, HDDCryptor Ransomware, RedBoot, UselessDisk. MBR-ni qayta yozishni amalga oshirish MBR Locker onlayn kabi dasturlarning manba kodlari paydo bo'lishi bilan keng jamoatchilikka taqdim etiladi. Buni GitHub-da tasdiqlash Visual Studio uchun manba kodi yoki tayyor loyihalar bilan juda ko'p sonli omborlarni topishingiz mumkin.
Ushbu kodni GitHub'dan kompilyatsiya qilish , natijada foydalanuvchining kompyuterini bir necha soniya ichida o'chirib qo'yadigan dastur. Va uni yig'ish uchun taxminan besh yoki o'n daqiqa kerak bo'ladi.
Ma'lum bo'lishicha, zararli dasturlarni yig'ish uchun katta ko'nikma yoki resurslarga ega bo'lish shart emas, har kim, istalgan joyda buni qila oladi. Kod Internetda bepul mavjud va shunga o'xshash dasturlarda osongina ko'paytirilishi mumkin. Bu meni o'ylashga majbur qiladi. Bu aralashuvni va muayyan choralarni ko'rishni talab qiladigan jiddiy muammo.
Manba: www.habr.com