👌 🏣 👩 数字化流行：冠状病毒与CoViper 👨🏾‍🎤 🚙 🚤

在冠状病毒大流行的背景下，有一种类似的大规模数字流行随之爆发的感觉[1]。网络钓鱼站点，垃圾邮件，欺诈性资源，恶意软件等恶意活动数量的增长速度引起了人们的严重关注。关于所造成的无法无天的范围，有一条消息称“敲诈者承诺不会袭击医疗机构” [2]。是的，完全像这样：在大流行中捍卫人类生命和健康的人也受到恶意软件的攻击，就像在捷克共和国那样，CoViper勒索软件破坏了几家医院[3]。
人们希望了解使用冠状病毒主题的勒索软件是什么以及为什么它们如此迅速地出现。在网络上，发现了恶意软件样本-CoViper和CoronaVirus，它们攻击了许多计算机，包括在公立医院和医疗中心。
这两个可执行文件均为Portable Executable格式，这意味着它们针对Windows。它们也为x86编译。值得注意的是，它们彼此非常相似，只有CoViper是用Delphi编写的，正如1992年6月19日的编译日期和各节的名称所证明的那样，CoronaVirus用C表示。两者都是加密程序的代表。
勒索软件勒索软件是一种程序，当它到达受害者的计算机时，会对用户文件进行加密，破坏正常的操作系统加载过程，并告知用户他需要向攻击者付款以进行解密。
启动该程序后，他们在计算机上搜索用户文件并对其进行加密。他们使用标准API函数执行搜索，可以在MSDN [4]上轻松找到其示例。

图1搜索用户文件

一段时间后，他们重新启动计算机并显示类似的消息，说明锁定计算机。

图2阻止消息

为了中断操作系统的启动过程，加密器使用一种简单的技术通过Windows API 修改启动记录（MBR）[5]。

图3引导记录的修改

其他许多勒索软件SmartRansom，迷宫，ONI勒索软件，Bioskits，MBRlock勒索软件，HDDCryptor勒索软件，RedBoot和UselessDisk也使用这种计算机输出方法。随着诸如MBR Locker之类的程序在网络上的源代码问世，MBR重写的实现已为公众所接受。为此，在GitHub [6]上，您可以找到大量带有源代码或Visual Studio完成项目的存储库。
使用GitHub编译此代码[7]，结果是一个程序在几秒钟内使用户的计算机崩溃。组装大约需要五到十分钟。
事实证明，收集恶意软件不需要具备强大的技能或工具，任何人都可以在任何地方进行。该代码可以在网络上自由行走，并且可以轻松地在此类程序中进行乘法。这让我思考。这是一个严重的问题，需要干预和某些措施。

数字化流行：冠状病毒与CoViper

More articles: