Epidemia digital: CoronaVirus vs CoViper

Contra o pano de fundo da pandemia de coronavírus, existe a sensação de que uma epidemia digital de menor escala explodiu junto com ela [1] . A taxa de crescimento do número de sites de phishing, spam, recursos fraudulentos, malvari e atividades maliciosas semelhantes causa séria preocupação. Sobre o escopo da ilegalidade criada, diz-se a notícia de que "extorsionistas prometem não atacar instituições médicas" [2] . Sim, exatamente assim: aqueles que defendem a vida e a saúde das pessoas durante uma pandemia também são atacados por software malicioso, como foi na República Tcheca, onde o CoViper ransomware interrompeu vários hospitais [3] .
Há um desejo de entender o que é ransomware que explora tópicos de coronavírus e por que eles aparecem tão rapidamente. Na rede, foram encontradas amostras de malware - CoViper e CoronaVirus, que atacaram muitos computadores, inclusive em hospitais públicos e centros médicos.
Ambos os arquivos executáveis ​​estão no formato Portable Executable, o que significa que eles são direcionados ao Windows. Eles também são compilados para x86. Vale ressaltar que eles são muito parecidos entre si, apenas o CoViper é escrito em Delphi, como evidenciado pela data de compilação de 19 de junho de 1992 e os nomes das seções, e o CoronaVirus em C. Ambos são representantes de criptografadores.
Ransomware ransomware ou ransomware é um programa que, quando chega ao computador da vítima, criptografa os arquivos do usuário, interrompe o processo normal de carregamento do sistema operacional e informa ao usuário que ele precisa pagar aos invasores para descriptografar.
Após iniciar o programa, eles pesquisam os arquivos do usuário no computador e os criptografam. Eles realizam uma pesquisa usando funções API padrão, exemplos dos quais podem ser facilmente encontrados no MSDN [4] .


Fig. 1 Procurar arquivos do usuário

Depois de algum tempo, eles reiniciam o computador e exibem uma mensagem semelhante sobre o bloqueio do computador.

Fig. 2 Mensagem de bloqueio

Para interromper o processo de inicialização do sistema operacional, os criptografadores usam uma técnica simples para modificar o registro de inicialização (MBR) [5] usando a API do Windows.

Fig. 3 Modificação do registro de inicialização

Muitos outros ransomware SmartRansom, Maze, ONI Ransomware, Bioskits, MBRlock Ransomware, HDDCryptor Ransomware, RedBoot, UselessDisk usam esse método de saída do computador. A implementação da reescrita do MBR está disponível para o público em geral com o advento do código fonte de programas como o MBR Locker. Como suporte, no GitHub [6], você pode encontrar um grande número de repositórios com código fonte ou projetos prontos para o Visual Studio.
Compilando este código com o GitHub [7], verifica-se um programa que trava o computador do usuário em alguns segundos. E leva cerca de cinco ou dez minutos para montá-lo.
Acontece que, para coletar malware mal-intencionado, você não precisa possuir grandes habilidades ou meios, qualquer um pode fazer isso em qualquer lugar. O código caminha livremente na rede e pode se multiplicar facilmente nesses programas. Isso me faz pensar. Este é um problema sério que requer intervenção e certas medidas.