在冠狀病毒大流行的背景下,人們感覺一場同樣大規模的數位流行病也隨之爆發。 。 網路釣魚網站、垃圾郵件、詐騙資源、惡意軟體和類似惡意活動數量的成長速度引起了嚴重關注。 「敲詐勒索者承諾不攻擊醫療機構」的訊息表明了持續的不法行為的規模 。 是的,沒錯:那些在大流行期間保護人們生命和健康的人也受到惡意軟體攻擊,就像捷克共和國的情況一樣,CoViper 勒索軟體擾亂了幾家醫院的工作 .
人們希望了解利用冠狀病毒主題的勒索軟體是什麼以及它們為何出現得如此之快。 在網路上發現了惡意軟體樣本 - CoViper 和 CoronaVirus,它們攻擊了許多計算機,包括公立醫院和醫療中心的計算機。
這兩個可執行檔都是可移植可執行格式,這表示它們是針對 Windows 的。 它們也是針對 x86 編譯的。 值得注意的是,它們彼此非常相似,只有CoViper 是用Delphi 編寫的,從19 年1992 月XNUMX 日的編譯日期和節名就可以看出,而CoronaVirus 是用C 語言編寫的。兩者都是加密器的代表。
勒索軟體或勒索軟體是一種程序,一旦進入受害者的計算機,就會加密用戶文件,破壞作業系統的正常啟動過程,並通知用戶需要向攻擊者付費才能解密。
啟動程式後,它會搜尋電腦上的使用者檔案並對其進行加密。 他們使用標準 API 函數執行搜索,可以在 MSDN 上輕鬆找到使用範例 .
圖1 搜尋用戶文件
一段時間後,他們重新啟動電腦並顯示有關電腦被封鎖的類似訊息。
圖2 阻塞訊息
為了破壞作業系統的啟動過程,勒索軟體使用修改啟動記錄(MBR)的簡單技術 使用 Windows API。
圖3 修改引導記錄
許多其他勒索軟體都使用這種滲透電腦的方法:SmartRansom、Maze、ONI Ransomware、Bioskits、MBRlock Ransomware、HDDCryptor Ransomware、RedBoot、UselessDisk。 隨著 MBR Locker 等程式的原始碼在線上出現,MBR 重寫的實現已向公眾開放。 在 GitHub 上確認這一點 您可以找到大量包含 Visual Studio 原始程式碼或現成專案的儲存庫。
從 GitHub 編譯此程式碼 ,結果是一個在幾秒鐘內禁用用戶電腦的程式。 組裝起來大約需要五到十分鐘。
事實證明,為了組裝惡意軟體,您不需要擁有出色的技能或資源;任何人、任何地方都可以做到。 該代碼可以在互聯網上免費獲得,並且可以輕鬆地在類似的程式中複製。 這讓我思考。 這是一個嚴重的問題,需要介入並採取某些措施。
來源: www.habr.com