Trong bối cảnh đại dịch coronavirus, có cảm giác rằng một đại dịch kỹ thuật số quy mô lớn không kém đã bùng phát song song với nó. . Tốc độ tăng trưởng về số lượng trang web lừa đảo, thư rác, tài nguyên lừa đảo, phần mềm độc hại và hoạt động độc hại tương tự làm tăng mối lo ngại nghiêm trọng. Quy mô của tình trạng vô luật pháp đang diễn ra được chỉ ra bởi tin tức “những kẻ tống tiền hứa sẽ không tấn công các cơ sở y tế” . Đúng vậy: những người bảo vệ tính mạng và sức khỏe của con người trong đại dịch cũng là đối tượng bị tấn công bằng phần mềm độc hại, như trường hợp ở Cộng hòa Séc, nơi phần mềm tống tiền CoViper đã làm gián đoạn hoạt động của một số bệnh viện .
Người ta mong muốn tìm hiểu ransomware khai thác chủ đề virus Corona là gì và tại sao chúng lại xuất hiện nhanh như vậy. Các mẫu phần mềm độc hại được tìm thấy trên mạng - CoViper và CoronaVirus, đã tấn công nhiều máy tính, kể cả các bệnh viện công và trung tâm y tế.
Cả hai tệp thực thi này đều ở định dạng Portable Executable, điều này cho thấy rằng chúng nhắm đến Windows. Chúng cũng được biên dịch cho x86. Đáng chú ý là chúng rất giống nhau, chỉ có CoViper được viết bằng Delphi, bằng chứng là ngày biên soạn là 19/1992/XNUMX và tên các phần, còn CoronaVirus ở C. Cả hai đều là đại diện của bộ mã hóa.
Ransomware hoặc ransomware là các chương trình khi ở trên máy tính của nạn nhân sẽ mã hóa tệp người dùng, làm gián đoạn quá trình khởi động bình thường của hệ điều hành và thông báo cho người dùng rằng anh ta cần trả tiền cho những kẻ tấn công để giải mã nó.
Sau khi khởi chạy chương trình, nó sẽ tìm kiếm các tệp người dùng trên máy tính và mã hóa chúng. Họ thực hiện tìm kiếm bằng cách sử dụng các hàm API tiêu chuẩn, có thể dễ dàng tìm thấy các ví dụ về cách sử dụng này trên MSDN .
Hình 1 Tìm kiếm tập tin người dùng
Sau một thời gian, chúng khởi động lại máy tính và hiển thị thông báo tương tự về việc máy tính bị chặn.
Hình 2 Tin nhắn chặn
Để làm gián đoạn quá trình khởi động của hệ điều hành, ransomware sử dụng một kỹ thuật đơn giản là sửa đổi bản ghi khởi động (MBR) bằng cách sử dụng API Windows.
Hình 3 Sửa đổi bản ghi khởi động
Phương pháp đánh cắp máy tính này được nhiều ransomware khác sử dụng: SmartRansom, Maze, ONI Ransomware, Bioskits, MBRlock Ransomware, HDDCryptor Ransomware, RedBoot, UselessDisk. Việc triển khai viết lại MBR có sẵn cho công chúng với sự xuất hiện của mã nguồn cho các chương trình như MBR Locker trực tuyến. Xác nhận điều này trên GitHub bạn có thể tìm thấy một số lượng lớn các kho lưu trữ có mã nguồn hoặc các dự án làm sẵn cho Visual Studio.
Biên dịch mã này từ GitHub , kết quả là một chương trình sẽ vô hiệu hóa máy tính của người dùng trong vài giây. Và phải mất khoảng năm hoặc mười phút để lắp ráp nó.
Hóa ra, để lắp ráp phần mềm độc hại độc hại, bạn không cần phải có kỹ năng hay nguồn lực dồi dào; bất kỳ ai, ở bất kỳ đâu cũng có thể làm được việc đó. Mã này có sẵn miễn phí trên Internet và có thể dễ dàng được sao chép trong các chương trình tương tự. Điều này khiến tôi phải suy nghĩ. Đây là một vấn đề nghiêm trọng cần có sự can thiệp và thực hiện các biện pháp nhất định.
Nguồn: www.habr.com