Épidémie numérique: CoronaVirus vs CoViper

Dans le contexte de la pandémie de coronavirus, on a le sentiment qu'une épidémie numérique non moins importante a éclaté avec elle [1] . Le taux de croissance du nombre de sites de phishing, de spam, de ressources frauduleuses, de logiciels malveillants et autres activités malveillantes similaires suscite de graves préoccupations. À propos de l'étendue de l'anarchie créée, dit la nouvelle que "les extorqueurs promettent de ne pas attaquer les institutions médicales" [2] . Oui, exactement comme ceci: ceux qui défendent la vie et la santé des gens pendant une pandémie sont également attaqués par des logiciels malveillants, comme en République tchèque, où le ransomware CoViper a perturbé plusieurs hôpitaux [3] .
Il y a un désir de comprendre ce que sont les ransomwares exploitant les sujets de coronavirus et pourquoi ils apparaissent si rapidement. Sur le réseau, des échantillons de logiciels malveillants ont été trouvés - CoViper et CoronaVirus, qui ont attaqué de nombreux ordinateurs, y compris dans les hôpitaux publics et les centres médicaux.
Ces deux fichiers exécutables sont au format exécutable portable, ce qui signifie qu'ils sont destinés à Windows. Ils sont également compilés pour x86. Il est à noter qu'ils sont très similaires les uns aux autres, seul CoViper est écrit en Delphi, comme en témoignent la date de compilation du 19 juin 1992 et les noms des sections, et CoronaVirus en C. Les deux sont des représentants de chiffreurs.
Ransomware ransomware ou ransomware est un programme qui, lorsqu'il atteint l'ordinateur de la victime, crypte les fichiers utilisateur, perturbe le processus normal de chargement du système d'exploitation et informe l'utilisateur qu'il doit payer les attaquants pour le décrypter.
Après avoir démarré le programme, ils recherchent les fichiers utilisateur sur l'ordinateur et les chiffrent. Ils effectuent une recherche à l'aide de fonctions API standard, dont des exemples peuvent être facilement trouvés sur MSDN [4] .


Fig. 1 Recherche de fichiers utilisateur

Après un certain temps, ils redémarrent l'ordinateur et affichent un message similaire sur le verrouillage de l'ordinateur.

Fig.2 Message de blocage

Pour perturber le processus de démarrage du système d'exploitation, les chiffreurs utilisent une technique simple pour modifier l'enregistrement de démarrage (MBR) [5] à l'aide de l'API Windows.

Fig. 3 Modification de l'enregistrement de démarrage.

De nombreux autres ransomwares SmartRansom, Maze, ONI Ransomware, Bioskits, MBRlock Ransomware, HDDCryptor Ransomware, RedBoot, UselessDisk utilisent cette méthode de sortie de l'ordinateur. L'implémentation de la réécriture MBR est disponible pour le grand public avec l'avènement des codes sources pour des programmes tels que MBR Locker sur le réseau. À l'appui de cela, sur GitHub [6], vous pouvez trouver un grand nombre de référentiels avec du code source ou des projets terminés pour Visual Studio.
Compilation de ce code avec GitHub [7], il s'avère qu'un programme bloque l'ordinateur de l'utilisateur en quelques secondes. Et cela prend environ cinq ou dix minutes pour l'assembler.
Il s'avère que pour collecter des malwares malveillants, vous n'avez pas besoin d'avoir de grandes compétences ou des outils, n'importe qui peut le faire n'importe où. Le code marche librement sur le réseau et peut facilement se multiplier dans de tels programmes. Ça me fait réfléchir. Il s'agit d'un problème grave qui nécessite une intervention et certaines mesures.