在新冠病毒大流行的背景下,人们感觉一场同样大规模的数字流行病也随之爆发。 。 网络钓鱼站点、垃圾邮件、欺诈资源、恶意软件和类似恶意活动数量的增长速度引起了严重关注。 “敲诈勒索者承诺不袭击医疗机构”的消息表明了持续的不法行为的规模 。 是的,没错:那些在大流行期间保护人们生命和健康的人也受到恶意软件攻击,就像捷克共和国的情况一样,CoViper 勒索软件扰乱了几家医院的工作 .
人们希望了解什么是利用冠状病毒主题的勒索软件以及它们为何出现得如此之快。 在网络上发现了恶意软件样本 - CoViper 和 CoronaVirus,它们攻击了许多计算机,包括公立医院和医疗中心的计算机。
这两个可执行文件都是可移植可执行格式,这表明它们是针对 Windows 的。 它们也是针对 x86 编译的。 值得注意的是,它们彼此非常相似,只有CoViper是用Delphi编写的,从19年1992月XNUMX日的编译日期和章节名称可以看出,而CoronaVirus是用C语言编写的。两者都是加密器的代表。
勒索软件或勒索软件是一种程序,一旦进入受害者的计算机,就会加密用户文件,破坏操作系统的正常启动过程,并通知用户需要向攻击者付费才能解密。
启动程序后,它会搜索计算机上的用户文件并对其进行加密。 他们使用标准 API 函数执行搜索,可以在 MSDN 上轻松找到使用示例 .
图1 搜索用户文件
一段时间后,他们重新启动计算机并显示有关计算机被阻止的类似消息。
图2 阻塞消息
为了破坏操作系统的启动过程,勒索软件使用修改启动记录(MBR)的简单技术 使用 Windows API。
图3 修改引导记录
许多其他勒索软件都使用这种渗透计算机的方法:SmartRansom、Maze、ONI Ransomware、Bioskits、MBRlock Ransomware、HDDCryptor Ransomware、RedBoot、UselessDisk。 随着 MBR Locker 等程序的源代码在线出现,MBR 重写的实现已向公众开放。 在 GitHub 上确认这一点 您可以找到大量包含 Visual Studio 源代码或现成项目的存储库。
从 GitHub 编译此代码 ,结果是一个在几秒钟内禁用用户计算机的程序。 组装起来大约需要五到十分钟。
事实证明,为了组装恶意软件,您不需要拥有出色的技能或资源;任何人、任何地方都可以做到。 该代码可以在互联网上免费获得,并且可以很容易地在类似的程序中复制。 这让我思考。 这是一个严重的问题,需要干预并采取某些措施。
来源: habr.com