Epidemi Digital: CoronaVirus vs CoViper

Terhadap latar belakang pandemi coronavirus, ada perasaan bahwa epidemi digital skala besar telah merebak seiring dengan itu [1] . Tingkat pertumbuhan jumlah situs phishing, spam, sumber daya penipuan, malware, dan aktivitas jahat sejenisnya menyebabkan masalah serius. Tentang ruang lingkup pelanggaran hukum yang dibuat mengatakan berita bahwa "pemeras berjanji untuk tidak menyerang lembaga medis" [2] . Ya, persis seperti ini: mereka yang membela kehidupan dan kesehatan masyarakat selama pandemi juga diserang oleh perangkat lunak berbahaya, seperti di Republik Ceko, di mana ransomware CoViper mengganggu beberapa rumah sakit [3] .
Ada keinginan untuk memahami apa ransomware yang mengeksploitasi topik coronavirus dan mengapa mereka muncul begitu cepat. Di jaringan, sampel malware ditemukan - CoViper dan CoronaVirus, yang menyerang banyak komputer, termasuk di rumah sakit umum dan pusat medis.
Kedua file yang dapat dieksekusi ini dalam format Portable Executable, yang berarti bahwa file tersebut ditujukan untuk Windows. Mereka juga dikompilasi untuk x86. Patut dicatat bahwa mereka sangat mirip satu sama lain, hanya CoViper yang ditulis dalam Delphi, sebagaimana dibuktikan dengan tanggal kompilasi 19 Juni 1992 dan nama-nama bagian, dan CoronaVirus di C. Keduanya perwakilan enkripsi.
Ransomware ransomware atau ransomware adalah program yang, ketika mencapai komputer korban, mengenkripsi file pengguna, mengganggu proses normal memuat sistem operasi, dan memberi tahu pengguna bahwa ia harus membayar penyerang untuk mendekripsi.
Setelah memulai program, mereka mencari file pengguna di komputer dan mengenkripsi mereka. Mereka melakukan pencarian menggunakan fungsi API standar, contoh-contohnya dapat dengan mudah ditemukan di MSDN [4] .


Gbr. 1 Mencari file pengguna

Setelah beberapa waktu, mereka me-restart komputer dan menampilkan pesan serupa tentang mengunci komputer.

2 Memblokir pesan

Untuk mengganggu proses boot sistem operasi, enkripsi menggunakan teknik sederhana untuk memodifikasi catatan boot (MBR) [5] menggunakan Windows API.

Gbr. 3 Modifikasi catatan booting.

Banyak ransomware SmartRansom, Maze, ONI Ransomware, Bioskits, MBRlock Ransomware, HDDCryptor Ransomware, RedBoot, UselessDisk menggunakan metode output komputer ini. Implementasi penulisan ulang MBR tersedia untuk masyarakat umum dengan munculnya kode sumber untuk program-program seperti MBR Locker di jaringan. Untuk mendukung ini, pada GitHub [6] Anda dapat menemukan sejumlah besar repositori dengan kode sumber atau proyek yang sudah jadi untuk Visual Studio.
Kompilasi kode ini dengan GitHub [7], ternyata sebuah program yang crash komputer pengguna dalam beberapa detik. Dan dibutuhkan sekitar lima atau sepuluh menit untuk merakitnya.
Ternyata untuk mengumpulkan malware jahat Anda tidak perlu memiliki keterampilan atau alat hebat, siapa pun dapat melakukannya di mana saja. Kode berjalan dengan bebas di jaringan dan dapat dengan mudah berkembang biak di program-program tersebut. Itu membuat saya berpikir. Ini adalah masalah serius yang memerlukan intervensi dan langkah-langkah tertentu.