1. Пост двух одинаковых тем в разных разделах - бан.
    Скрыть объявление
  2. Появилась архивная версия форума http://xaker.name/arhiv/, где собраны темы с 2007 по 2012 год.
    Скрыть объявление

Цифровая эпидемия: CoronaVirus vs CoViper

Тема в разделе "Статьи", создана пользователем it-spezza, 22 май 2020.

  1. it-spezza
    it-spezza Новичок
    Симпатии:
    0
    На фоне пандемии коронавируса возникает ощущение того, что параллельно с ней вспыхнула не менее масштабная цифровая эпидемия [1]. Темпы роста числа фишинговых сайтов, спама, мошеннических ресурсов, малвари и тому подобной вредоносной активности вызывают серьезные опасения. О размахе творящегося беспредела говорит новость о том, что «вымогатели обещают не атаковать медицинские учреждения» [2]. Да, именно так: те, кто во время пандемии стоит на защите жизни и здоровья людей, также подвергаются атакам вредоносного программного обеспечения, как это было в Чехии, где шифровальщик-вымогатель CoViper нарушил работу нескольких больниц [3].

    Возникает желание понять, что представляют собой вымогатели, эксплуатирующие коронавирусную тематику и почему они так быстро появляются. В сети были найдены образцы вредоносного ПО – CoViper и CoronaVirus, которые атаковали множество компьютеров, в том числе в государственных больницах и медицинских центрах.

    Оба этих исполняемых файла имеют формат Portable Executable, что говорит о том, что они нацелены на Windows. Также они скомпилированы под x86. Примечательно, что они очень похожи друг на друга, только CoViper написан на Delphi, о чем свидетельствует дата компиляции 19 июня 1992 года и имена секций, а CoronaVirus на С. Оба представители шифровальщиков.

    Шифровальщики-вымогатели или ransomware представляют собой программы, которые, попадая на компьютер жертвы, шифруют пользовательские файлы, нарушают нормальный процесс загрузки операционной системы и информируют пользователя о том, что для расшифровки ему нужно заплатить злоумышленникам.

    После запуска программы ищут пользовательские файлы на компьютере и шифруют их. Поиск они выполняют стандартными API функциями, примеры использования которых можно легко найти на MSDN [4].

    ahabrastorage.org_webt_nf_4e_re_nf4ere2hvaoupul6a5vncil7h1o.png
    Рис.1 Поиск пользовательских файлов

    Через некоторое время они перезагружают компьютер и выводят подобное сообщение о блокировке компьютера.
    ahabrastorage.org_webt_0d_vr_yg_0dvryg9mkfcpo3q_fva_wi4_wy8.png
    Рис.2 Сообщение о блокировке

    Для нарушения процесса загрузки операционной системы шифровальщики используют нехитрый прием модификации загрузочной записи (MBR) [5] с помощью API Windows.
    ahabrastorage.org_webt_b9_vf_og_b9vfogmfgftyewmlfsnv09_a6os.png
    Рис.3 Модификация загрузочной записи

    Такой способ вывода компьютера используют многие другие шифровальщики SmartRansom, Maze, ONI Ransomware, Bioskits, MBRlock Ransomware, HDDCryptor Ransomware, RedBoot, UselessDisk. Реализация перезаписи MBR доступна широкой публике с появлением в сети исходных кодов таких программ как MBR Locker. В подтверждение этому на GitHub [6] можно найти огромное число репозиториев с исходным кодом или готовыми проектами под Visual Studio.

    Скомпилировав этот код c GitHub [7], получается программа, которая выводит компьютер пользователя из строя за несколько секунд. И на сборку ее нужно минут пять или десять.
    Получается, чтобы собрать вредоносную малварь не нужно обладать большими навыками или средствами, это может сделать кто угодно и где угодно. Код свободно гуляет в сети и может спокойно размножаться в подобных программах. Меня это заставляет задуматься. Это серьезная проблема, которая требует вмешательства и принятия определенных мер.

    https://habr.com/ru/post/503110/
     
    22 май 2020

Поделиться этой страницей

Загрузка...