Epidemia digital: CoronaVirus vs CoViper

En el contexto de la pandemia de coronavirus, existe la sensación de que ha surgido una epidemia digital no menor a gran escala [1] . La tasa de crecimiento del número de sitios de phishing, spam, recursos fraudulentos, malvari y actividades maliciosas similares causa serias preocupaciones. Sobre el alcance de la ilegalidad creada dice la noticia de que "los extorsionistas prometen no atacar a las instituciones médicas" [2] . Sí, exactamente así: quienes defienden la vida y la salud de las personas durante una pandemia también son atacados por software malicioso, como ocurrió en la República Checa, donde el ransomware CoViper interrumpió varios hospitales [3] .
Existe el deseo de comprender qué son los ransomware que explotan los temas de coronavirus y por qué aparecen tan rápidamente. En la red, se encontraron muestras de malware: CoViper y CoronaVirus, que atacaron muchas computadoras, incluso en hospitales públicos y centros médicos.
Ambos archivos ejecutables están en formato ejecutable portátil, lo que significa que están destinados a Windows. También se compilan para x86. Es de destacar que son muy similares entre sí, solo CoViper está escrito en Delphi, como lo demuestra la fecha de compilación del 19 de junio de 1992 y los nombres de las secciones, y CoronaVirus en C. Ambos son representantes de encriptadores.
Ransomware ransomware o ransomware es un programa que, cuando llega a la computadora de la víctima, encripta los archivos del usuario, interrumpe el proceso normal de carga del sistema operativo e informa al usuario que debe pagar a los atacantes para que lo descifren.
Después de iniciar el programa, buscan archivos de usuario en la computadora y los cifran. Realizan una búsqueda utilizando funciones API estándar, cuyos ejemplos se pueden encontrar fácilmente en MSDN [4] .


Fig. 1 Buscar archivos de usuario

Después de un tiempo, reinician la computadora y muestran un mensaje similar sobre el bloqueo de la computadora.

Fig. 2 Mensaje de bloqueo

Para interrumpir el proceso de arranque del sistema operativo, los encriptadores usan una técnica simple para modificar el registro de arranque (MBR) [5] usando la API de Windows.

Fig. 3 Modificación del registro de arranque

Muchos otros ransomware SmartRansom, Maze, ONI Ransomware, Bioskits, MBRlock Ransomware, HDDCryptor Ransomware, RedBoot, UselessDisk utilizan este método de salida de computadora. La implementación de la reescritura de MBR está disponible para el público en general con el advenimiento del código fuente de programas como MBR Locker. Para respaldar esto, en GitHub [6] puede encontrar una gran cantidad de repositorios con código fuente o proyectos listos para Visual Studio.
Compilando este código con GitHub [7], resulta un programa que bloquea la computadora del usuario en unos segundos. Y se tarda unos cinco o diez minutos en armarlo.
Resulta que para recolectar malware malicioso no es necesario tener grandes habilidades o herramientas, cualquiera puede hacerlo en cualquier lugar. El código camina libremente por la red y puede multiplicarse fácilmente en dichos programas. Eso me hace pensar. Este es un problema grave que requiere intervención y ciertas medidas.