Verskeie bedreigings wat koronavirus-temas gebruik, verskyn steeds aanlyn. En vandag wil ons inligting deel oor een interessante geval wat duidelik die begeerte van aanvallers demonstreer om hul wins te maksimeer. Die bedreiging van die “2-in-1”-kategorie noem homself CoronaVirus. En gedetailleerde inligting oor die wanware is onder die knie.
Die ontginning van die koronavirus-tema het meer as 'n maand gelede begin. Die aanvallers het gebruik gemaak van die publiek se belangstelling in inligting oor die verspreiding van die pandemie en die maatreëls wat getref is. 'n Groot aantal verskillende informante, spesiale toepassings en vals werwe het op die internet verskyn wat gebruikers in gevaar stel, data steel en soms die inhoud van die toestel enkripteer en 'n losprys eis. Dit is presies wat die Coronavirus Tracker-mobiele toepassing doen, wat toegang tot die toestel blokkeer en 'n losprys eis.
'n Afsonderlike kwessie vir die verspreiding van wanware was die verwarring met finansiële ondersteuningsmaatreëls. In baie lande het die regering hulp en ondersteuning aan gewone burgers en sakeverteenwoordigers beloof tydens die pandemie. En byna nêrens is die ontvangs van hierdie hulp eenvoudig en deursigtig nie. Boonop hoop baie dat hulle finansieel gehelp sal word, maar weet nie of hulle ingesluit is in die lys van diegene wat staatsubsidies sal ontvang of nie. En diegene wat reeds iets van die staat ontvang het, sal waarskynlik nie bykomende hulp weier nie.
Dit is presies waaruit aanvallers voordeel trek. Hulle stuur briewe namens banke, finansiële reguleerders en sosiale sekerheidsowerhede en bied hulp aan. Jy hoef net die skakel te volg...
Dit is nie moeilik om te raai dat nadat hy op 'n twyfelagtige adres geklik het, 'n persoon op 'n uitvissing-werf beland waar hy gevra word om sy finansiële inligting in te voer. Meestal, gelyktydig met die opening van 'n webwerf, probeer aanvallers om 'n rekenaar te besmet met 'n Trojaanse program wat daarop gemik is om persoonlike data en veral finansiële inligting te steel. Soms bevat 'n e-posaanhangsel 'n wagwoordbeskermde lêer wat "belangrike inligting bevat oor hoe jy staatsondersteuning kan kry" in die vorm van spioenware of losprysware.
Boonop het programme uit die Infostealer-kategorie ook onlangs op sosiale netwerke begin versprei. Byvoorbeeld, as jy een of ander wettige Windows-hulpprogram wil aflaai, sê wisecleaner[.]beste, Infostealer kan heel moontlik saam met dit kom. Deur op die skakel te klik, ontvang die gebruiker 'n aflaaier wat wanware aflaai saam met die hulpprogram, en die aflaaibron word gekies afhangende van die konfigurasie van die slagoffer se rekenaar.
Coronavirus 2022
Hoekom het ons hierdie hele uitstappie deurgemaak? Die feit is dat die nuwe wanware, waarvan die skeppers nie te lank oor die naam gedink het nie, pas al die beste geabsorbeer het en die slagoffer met twee soorte aanvalle gelyktydig verlustig. Aan die een kant is die enkripsieprogram (CoronaVirus) gelaai, en aan die ander kant KPOT infostealer.
CoronaVirus losprysware
Die ransomware self is 'n klein lêer wat 44KB meet. Die bedreiging is eenvoudig maar effektief. Die uitvoerbare lêer kopieer homself onder 'n ewekansige naam na %AppData%LocalTempvprdh.exe, en stel ook die sleutel in die register WindowsCurrentVersionRun. Sodra die kopie geplaas is, word die oorspronklike uitgevee.
Soos die meeste losprysware, probeer CoronaVirus om plaaslike rugsteun uit te vee en lêerskadu te deaktiveer deur die volgende stelselopdragte uit te voer:
C:Windowssystem32VSSADMIN.EXE Delete Shadows /All /Quiet
C:Windowssystem32wbadmin.exe delete systemstatebackup -keepVersions:0 -quiet
C:Windowssystem32wbadmin.exe delete backup -keepVersions:0 -quiet
Vervolgens begin die sagteware om lêers te enkripteer. Die naam van elke geïnkripteer lêer sal bevat [email protected]__ aan die begin, en al die ander bly dieselfde.
Boonop verander die losprysware die naam van die C-stasie na CoronaVirus.
In elke gids wat hierdie virus daarin geslaag het om te besmet, verskyn 'n CoronaVirus.txt-lêer wat betalingsinstruksies bevat. Die losprys is slegs 0,008 bitcoins of ongeveer $60. Ek moet sê, dit is 'n baie beskeie syfer. En hier is die punt óf dat die skrywer hom nie ten doel gestel het om baie ryk te word nie... óf, inteendeel, hy het besluit dat dit 'n uitstekende bedrag is wat elke gebruiker wat in self-isolasie by die huis sit, kan betaal. Stem saam, as jy nie buite kan gaan nie, dan is $60 om jou rekenaar weer te laat werk nie soveel nie.
Daarbenewens skryf die nuwe Ransomware 'n klein DOS-uitvoerbare lêer in die tydelike lêers-lêergids en registreer dit in die register onder die BootExecute-sleutel sodat betalingsinstruksies gewys sal word die volgende keer wanneer die rekenaar herlaai word. Afhangende van die stelselinstellings, sal hierdie boodskap dalk nie verskyn nie. Nadat enkripsie van alle lêers voltooi is, sal die rekenaar egter outomaties herbegin.
KPOT-inligtingsteler
Hierdie Ransomware kom ook met KPOT spyware. Hierdie inligtingsteler kan koekies en gestoorde wagwoorde van 'n verskeidenheid blaaiers steel, sowel as van speletjies wat op 'n rekenaar geïnstalleer is (insluitend Steam), Jabber en Skype-kitsboodskappers. Sy belangstellingsgebied sluit ook toegangsbesonderhede vir FTP en VPN in. Nadat hy sy werk gedoen het en alles gesteel het wat hy kan, verwyder die spioen homself met die volgende opdrag:
cmd.exe /c ping 127.0.0.1 && del C:tempkpot.exe
Dit is nie meer net Ransomware nie
Hierdie aanval, weereens gekoppel aan die tema van die koronaviruspandemie, bewys weereens dat moderne losprysware meer probeer doen as net jou lêers te enkripteer. In hierdie geval loop die slagoffer die risiko dat wagwoorde na verskeie werwe en portale gesteel word. Hoogs georganiseerde kuberkriminele groepe soos Maze en DoppelPaymer het vaardig geraak om gesteelde persoonlike data te gebruik om gebruikers af te pers as hulle nie vir lêerherwinning wil betaal nie. Inderdaad, skielik is hulle nie so belangrik nie, of die gebruiker het 'n rugsteunstelsel wat nie vatbaar is vir Ransomware-aanvalle nie.
Ten spyte van die eenvoud daarvan, toon die nuwe CoronaVirus duidelik dat kubermisdadigers ook hul inkomste wil verhoog en op soek is na bykomende maniere om geld te verdien. Die strategie self is nie nuut nie - Acronis-ontleders neem nou al 'n paar jaar lank losprysaanvalle waar wat ook finansiële Trojans op die slagoffer se rekenaar plant. Boonop kan 'n ransomware-aanval in moderne toestande oor die algemeen as 'n sabotasie dien om die aandag af te lei van die hoofdoel van aanvallers - datalekkasie.
Op die een of ander manier kan beskerming teen sulke bedreigings slegs bereik word deur 'n geïntegreerde benadering tot kuberverdediging te gebruik. En moderne sekuriteitstelsels blokkeer maklik sulke bedreigings (en albei hul komponente) selfs voordat hulle begin om heuristiese algoritmes te gebruik wat masjienleertegnologieë gebruik. Indien geïntegreer met 'n rugsteun-/rampherstelstelsel, sal die eerste beskadigde lêers onmiddellik herstel word.
Vir diegene wat belangstel, hash-somme van IoC-lêers:
CoronaVirus Ransomware: 3299f07bc0711b3587fe8a1c6bf3ee6bcbc14cb775f64b28a61d72ebcb8968d3
Kpot infostealer: a08db3b44c713a96fe07e0bfc440ca9cf2e3d152a5d13a70d6102c15004c4240
Slegs geregistreerde gebruikers kan aan die opname deelneem. , asseblief.
Het jy al ooit gelyktydige enkripsie en data-diefstal ervaar?
-
19,0%Ja 4
-
42,9%No9
-
28,6%Ons sal meer waaksaam moet wees6
-
9,5%Ek het nie eers daaraan gedink nie 2
21 gebruikers het gestem. 5 gebruikers het buite stemming gebly.
Bron: will.com