Trong bối cảnh đại dịch coronavirus, có cảm giác rằng một đại dịch kỹ thuật số quy mô lớn không kém đã bùng phát song song với nó.
Cả hai tệp thực thi này đều ở định dạng Portable Executable, điều này cho thấy rằng chúng nhắm đến Windows. Chúng cũng được biên dịch cho x86. Đáng chú ý là chúng rất giống nhau, chỉ có CoViper được viết bằng Delphi, bằng chứng là ngày biên soạn là 19/1992/XNUMX và tên các phần, còn CoronaVirus ở C. Cả hai đều là đại diện của bộ mã hóa.
Ransomware hoặc ransomware là các chương trình khi ở trên máy tính của nạn nhân sẽ mã hóa tệp người dùng, làm gián đoạn quá trình khởi động bình thường của hệ điều hành và thông báo cho người dùng rằng anh ta cần trả tiền cho những kẻ tấn công để giải mã nó.
Sau khi khởi chạy chương trình, nó sẽ tìm kiếm các tệp người dùng trên máy tính và mã hóa chúng. Họ thực hiện tìm kiếm bằng cách sử dụng các hàm API tiêu chuẩn, có thể dễ dàng tìm thấy các ví dụ về cách sử dụng này trên MSDN
Hình 1 Tìm kiếm tập tin người dùng
Sau một thời gian, chúng khởi động lại máy tính và hiển thị thông báo tương tự về việc máy tính bị chặn.
Hình 2 Tin nhắn chặn
Để làm gián đoạn quá trình khởi động của hệ điều hành, ransomware sử dụng một kỹ thuật đơn giản là sửa đổi bản ghi khởi động (MBR)
Hình 3 Sửa đổi bản ghi khởi động
Phương pháp đánh cắp máy tính này được nhiều ransomware khác sử dụng: SmartRansom, Maze, ONI Ransomware, Bioskits, MBRlock Ransomware, HDDCryptor Ransomware, RedBoot, UselessDisk. Việc triển khai viết lại MBR có sẵn cho công chúng với sự xuất hiện của mã nguồn cho các chương trình như MBR Locker trực tuyến. Xác nhận điều này trên GitHub
Biên dịch mã này từ GitHub
Hóa ra, để lắp ráp phần mềm độc hại độc hại, bạn không cần phải có kỹ năng hay nguồn lực dồi dào; bất kỳ ai, ở bất kỳ đâu cũng có thể làm được việc đó. Mã này có sẵn miễn phí trên Internet và có thể dễ dàng được sao chép trong các chương trình tương tự. Điều này khiến tôi phải suy nghĩ. Đây là một vấn đề nghiêm trọng cần có sự can thiệp và thực hiện các biện pháp nhất định.
Nguồn: www.habr.com