在新冠病毒大流行的背景下,人们感觉一场同样大规模的数字流行病也随之爆发。
这两个可执行文件都是可移植可执行格式,这表明它们是针对 Windows 的。 它们也是针对 x86 编译的。 值得注意的是,它们彼此非常相似,只有CoViper是用Delphi编写的,从19年1992月XNUMX日的编译日期和章节名称可以看出,而CoronaVirus是用C语言编写的。两者都是加密器的代表。
勒索软件或勒索软件是一种程序,一旦进入受害者的计算机,就会加密用户文件,破坏操作系统的正常启动过程,并通知用户需要向攻击者付费才能解密。
启动程序后,它会搜索计算机上的用户文件并对其进行加密。 他们使用标准 API 函数执行搜索,可以在 MSDN 上轻松找到使用示例
图1 搜索用户文件
一段时间后,他们重新启动计算机并显示有关计算机被阻止的类似消息。
图2 阻塞消息
为了破坏操作系统的启动过程,勒索软件使用修改启动记录(MBR)的简单技术
图3 修改引导记录
许多其他勒索软件都使用这种渗透计算机的方法:SmartRansom、Maze、ONI Ransomware、Bioskits、MBRlock Ransomware、HDDCryptor Ransomware、RedBoot、UselessDisk。 随着 MBR Locker 等程序的源代码在线出现,MBR 重写的实现已向公众开放。 在 GitHub 上确认这一点
从 GitHub 编译此代码
事实证明,为了组装恶意软件,您不需要拥有出色的技能或资源;任何人、任何地方都可以做到。 该代码可以在互联网上免费获得,并且可以很容易地在类似的程序中复制。 这让我思考。 这是一个严重的问题,需要干预并采取某些措施。
来源: habr.com