Digitale Epidemie: CoronaVirus gegen CoViper

Vor dem Hintergrund der Coronavirus-Pandemie besteht das Gefühl, dass eine nicht weniger große digitale Epidemie damit einhergegangen ist [1] . Die Wachstumsrate der Anzahl von Phishing-Sites, Spam, betrügerischen Ressourcen, Malvari und ähnlichen böswilligen Aktivitäten gibt Anlass zu ernsthafter Besorgnis. Über den Umfang der geschaffenen Gesetzlosigkeit heißt es in der Nachricht, dass "Erpresser versprechen, medizinische Einrichtungen nicht anzugreifen" [2] . Ja, genau so: Diejenigen, die während einer Pandemie das Leben und die Gesundheit der Menschen verteidigen, werden ebenfalls von bösartiger Software angegriffen, wie es in der Tschechischen Republik der Fall war, wo CoViper Ransomware mehrere Krankenhäuser störte [3] .
Es besteht der Wunsch zu verstehen, was Ransomware ist, die Coronavirus-Themen ausnutzt, und warum sie so schnell angezeigt werden. Im Netzwerk wurden Malware-Beispiele gefunden - CoViper und CoronaVirus, die viele Computer angriffen, auch in öffentlichen Krankenhäusern und medizinischen Zentren.
Beide ausführbaren Dateien liegen im Format Portable Executable vor, was bedeutet, dass sie auf Windows ausgerichtet sind. Sie sind auch für x86 kompiliert. Es ist bemerkenswert, dass sie einander sehr ähnlich sind. Nur CoViper ist in Delphi geschrieben, wie das Kompilierungsdatum vom 19. Juni 1992 und die Namen der Abschnitte belegen, und CoronaVirus in C. Beide sind Vertreter von Verschlüsselern.
Ransomware Ransomware oder Ransomware ist ein Programm, das beim Erreichen des Computers des Opfers Benutzerdateien verschlüsselt, den normalen Ladevorgang des Betriebssystems stört und den Benutzer darüber informiert, dass er Angreifer für die Entschlüsselung bezahlen muss.
Nach dem Start des Programms suchen sie auf dem Computer nach Benutzerdateien und verschlüsseln diese. Sie führen eine Suche mit Standard-API-Funktionen durch, von denen Beispiele auf MSDN leicht zu finden sind [4] .


Abb. 1 Suchen nach Benutzerdateien

Nach einiger Zeit starten sie den Computer neu und zeigen eine ähnliche Meldung zum Sperren des Computers an.

Abb. 2 Sperrnachricht

Um den Startvorgang des Betriebssystems zu unterbrechen, verwenden Verschlüsseler eine einfache Technik zum Ändern des Startdatensatzes (MBR) [5] mithilfe der Windows-API.

Abb. 3 Änderung des

Startdatensatzes Viele andere Ransomware SmartRansom, Maze, ONI Ransomware, Bioskits, MBRlock Ransomware, HDDCryptor Ransomware, RedBoot und UselessDisk verwenden diese Methode der Computerausgabe. Die Implementierung des MBR-Umschreibens steht der Öffentlichkeit mit dem Aufkommen des Quellcodes von Programmen wie MBR Locker zur Verfügung. Um dies zu unterstützen, finden Sie auf GitHub [6] eine große Anzahl von Repositorys mit Quellcode oder abgeschlossenen Projekten für Visual Studio.
Kompilieren dieses Codes mit GitHub [7]Es stellt sich heraus, dass ein Programm den Computer des Benutzers in wenigen Sekunden zum Absturz bringt. Die Montage dauert etwa fünf oder zehn Minuten.
Es stellt sich heraus, dass zum Sammeln bösartiger Malware keine großen Fähigkeiten oder Tools erforderlich sind. Jeder kann dies überall tun. Der Code läuft frei im Netzwerk und kann in solchen Programmen leicht multipliziert werden. Es bringt mich zum Nachdenken. Dies ist ein ernstes Problem, das Eingriffe und bestimmte Maßnahmen erfordert.