На фоне пандемии коронавируса возникает ощущение того, что параллельно с ней вспыхнула не менее масштабная цифровая эпидемия Темпы роста числа фишинговых сайтов, спама, мошеннических ресурсов, малвари и тому подобной вредоносной активности вызывают серьезные опасения. О размахе творящегося беспредела говорит новость о том, что «вымогатели обещают не атаковать медицинские учреждения» Да, именно так: те, кто во время пандемии стоит на защите жизни и здоровья людей, также подвергаются атакам вредоносного программного обеспечения, как это было в Чехии, где шифровальщик-вымогатель CoViper нарушил работу нескольких больниц
Возникает желание понять, что представляют собой вымогатели, эксплуатирующие коронавирусную тематику и почему они так быстро появляются. В сети были найдены образцы вредоносного ПО – CoViper и CoronaVirus, которые атаковали множество компьютеров, в том числе в государственных больницах и медицинских центрах.
Оба этих исполняемых файла имеют формат Portable Executable, что говорит о том, что они нацелены на Windows. Также они скомпилированы под x86. Примечательно, что они очень похожи друг на друга, только CoViper написан на Delphi, о чем свидетельствует дата компиляции 19 июня 1992 года и имена секций, а CoronaVirus на С. Оба представители шифровальщиков.
Шифровальщики-вымогатели или ransomware представляют собой программы, которые, попадая на компьютер жертвы, шифруют пользовательские файлы, нарушают нормальный процесс загрузки операционной системы и информируют пользователя о том, что для расшифровки ему нужно заплатить злоумышленникам.
После запуска программы ищут пользовательские файлы на компьютере и шифруют их. Поиск они выполняют стандартными API функциями, примеры использования которых можно легко найти на MSDN
Через некоторое время они перезагружают компьютер и выводят подобное сообщение о блокировке компьютера.
Для нарушения процесса загрузки операционной системы шифровальщики используют нехитрый прием модификации загрузочной записи (MBR) [5] с помощью API Windows.
Такой способ вывода компьютера используют многие другие шифровальщики SmartRansom, Maze, ONI Ransomware, Bioskits, MBRlock Ransomware, HDDCryptor Ransomware, RedBoot, UselessDisk. Реализация перезаписи MBR доступна широкой публике с появлением в сети исходных кодов таких программ как MBR Locker. В подтверждение этому на GitHub [6] можно найти огромное число репозиториев с исходным кодом или готовыми проектами под Visual Studio.
Скомпилировав этот код c GitHub [7], получается программа, которая выводит компьютер пользователя из строя за несколько секунд. И на сборку ее нужно минут пять или десять.
Получается, чтобы собрать вредоносную малварь не нужно обладать большими навыками или средствами, это может сделать кто угодно и где угодно. Код свободно гуляет в сети и может спокойно размножаться в подобных программах. Меня это заставляет задуматься. Это серьезная проблема, которая требует вмешательства и принятия определенных мер.
Возникает желание понять, что представляют собой вымогатели, эксплуатирующие коронавирусную тематику и почему они так быстро появляются. В сети были найдены образцы вредоносного ПО – CoViper и CoronaVirus, которые атаковали множество компьютеров, в том числе в государственных больницах и медицинских центрах.
Оба этих исполняемых файла имеют формат Portable Executable, что говорит о том, что они нацелены на Windows. Также они скомпилированы под x86. Примечательно, что они очень похожи друг на друга, только CoViper написан на Delphi, о чем свидетельствует дата компиляции 19 июня 1992 года и имена секций, а CoronaVirus на С. Оба представители шифровальщиков.
Шифровальщики-вымогатели или ransomware представляют собой программы, которые, попадая на компьютер жертвы, шифруют пользовательские файлы, нарушают нормальный процесс загрузки операционной системы и информируют пользователя о том, что для расшифровки ему нужно заплатить злоумышленникам.
После запуска программы ищут пользовательские файлы на компьютере и шифруют их. Поиск они выполняют стандартными API функциями, примеры использования которых можно легко найти на MSDN
Через некоторое время они перезагружают компьютер и выводят подобное сообщение о блокировке компьютера.
Для нарушения процесса загрузки операционной системы шифровальщики используют нехитрый прием модификации загрузочной записи (MBR) [5] с помощью API Windows.
Такой способ вывода компьютера используют многие другие шифровальщики SmartRansom, Maze, ONI Ransomware, Bioskits, MBRlock Ransomware, HDDCryptor Ransomware, RedBoot, UselessDisk. Реализация перезаписи MBR доступна широкой публике с появлением в сети исходных кодов таких программ как MBR Locker. В подтверждение этому на GitHub [6] можно найти огромное число репозиториев с исходным кодом или готовыми проектами под Visual Studio.
Скомпилировав этот код c GitHub [7], получается программа, которая выводит компьютер пользователя из строя за несколько секунд. И на сборку ее нужно минут пять или десять.
Получается, чтобы собрать вредоносную малварь не нужно обладать большими навыками или средствами, это может сделать кто угодно и где угодно. Код свободно гуляет в сети и может спокойно размножаться в подобных программах. Меня это заставляет задуматься. Это серьезная проблема, которая требует вмешательства и принятия определенных мер.
