ፕሮሆስተር > ጦማር > አስተዳደር > ዲጂታል ኮሮናቫይረስ - የ Ransomware እና Infostealer ጥምረት

ዲጂታል ኮሮናቫይረስ - የ Ransomware እና Infostealer ጥምረት

የኮሮና ቫይረስ ጭብጦችን በመጠቀም የተለያዩ ማስፈራሪያዎች በመስመር ላይ መታየታቸውን ቀጥለዋል። እና ዛሬ አጥቂዎች ትርፋቸውን ከፍ ለማድረግ ያላቸውን ፍላጎት በግልፅ ስለሚያሳይ ስለ አንድ አስደሳች ምሳሌ መረጃን ልናካፍል እንፈልጋለን። ከ "2-በ-1" ምድብ ስጋት እራሱን ኮሮና ቫይረስ ብሎ ይጠራዋል። እና ስለ ማልዌር ዝርዝር መረጃ በመቁረጥ ስር ነው።

ዲጂታል ኮሮናቫይረስ - የ Ransomware እና Infostealer ጥምረት

የኮሮና ቫይረስ ጭብጥ ብዝበዛ የተጀመረው ከአንድ ወር በላይ በፊት ነው። አጥቂዎቹ ስለ ወረርሽኙ መስፋፋት እና ስለተወሰዱት እርምጃዎች የህዝቡን ፍላጎት ተጠቅመዋል። እጅግ በጣም ብዙ የተለያዩ መረጃ ሰጪዎች፣ ልዩ አፕሊኬሽኖች እና የውሸት ድረ-ገጾች ተጠቃሚዎችን የሚያበላሹ፣ መረጃ የሚሰርቁ እና አንዳንዴም የመሳሪያውን ይዘት የሚያመሰጥሩ እና ቤዛ የሚጠይቁ ድረ-ገጾች ታይተዋል። ልክ የኮሮና ቫይረስ መከታተያ ሞባይል መተግበሪያ የሚያደርገው፣ የመሳሪያውን መዳረሻ በመከልከል እና ቤዛ የሚጠይቅ ነው።

ለማልዌር መስፋፋት የተለየ ጉዳይ የገንዘብ ድጋፍ እርምጃዎች ጋር ያለው ግራ መጋባት ነበር። በብዙ አገሮች ወረርሽኙ በተከሰተበት ወቅት መንግሥት ለተራ ዜጎች እና ለንግድ ተወካዮች እርዳታ እና ድጋፍ ቃል ገብቷል። እና ቀላል እና ግልጽነት ያለው እርዳታ የትም አይገኝም። ከዚህም በላይ ብዙዎች በገንዘብ እንደሚረዷቸው ተስፋ ያደርጋሉ, ነገር ግን የመንግስት ድጎማ በሚቀበሉት ዝርዝር ውስጥ መካተቱን አያውቁም. እና ከስቴቱ አንድ ነገር የተቀበሉ ሰዎች ተጨማሪ እርዳታን እምቢ ማለት አይችሉም።

አጥቂዎች የሚጠቀሙበት ይህ ነው። እርዳታ በመስጠት ባንኮችን፣ የፋይናንስ ተቆጣጣሪዎችን እና የማህበራዊ ዋስትና ባለስልጣናትን በመወከል ደብዳቤዎችን ይልካሉ። ሊንኩን መከተል ብቻ ያስፈልግዎታል ...

አጠራጣሪ በሆነ አድራሻ ላይ ጠቅ ካደረጉ በኋላ አንድ ሰው የፋይናንስ መረጃውን እንዲያስገባ በሚጠየቅበት የማስገር ጣቢያ ላይ ያበቃል ብሎ መገመት ከባድ አይደለም። ብዙ ጊዜ፣ በተመሳሳይ ጊዜ ድህረ ገጽ በመክፈት አጥቂዎች የግል መረጃን ለመስረቅ እና በተለይም የፋይናንስ መረጃን ለመስረቅ ያለመ ኮምፒውተርን በትሮጃን ፕሮግራም ለመበከል ይሞክራሉ። አንዳንድ ጊዜ የኢሜል አባሪ በስፓይዌር ወይም በራንሰምዌር መልክ "የመንግስት ድጋፍ እንዴት ማግኘት እንደሚችሉ ጠቃሚ መረጃ" የያዘ በይለፍ ቃል የተጠበቀ ፋይልን ያካትታል።

በተጨማሪም በቅርብ ጊዜ ከ Infostealer ምድብ የተውጣጡ ፕሮግራሞችም በማህበራዊ አውታረ መረቦች ላይ መሰራጨት ጀምረዋል. ለምሳሌ፣ አንዳንድ ህጋዊ የዊንዶውስ መገልገያ ማውረድ ከፈለጉ፣ wisecleaner[.] best፣ Infostealer ከሱ ጋር አብሮ ሊመጣ ይችላል። አገናኙን ጠቅ በማድረግ ተጠቃሚው ማልዌርን ከመገልገያው ጋር የሚያወርድ ማውረጃ ይቀበላል, እና የማውረጃው ምንጭ በተጠቂው ኮምፒዩተር ውቅር ላይ በመመስረት ይመረጣል.

ኮሮናቫይረስ 2022

ለምን ይህን ሁሉ ጉዞ አሳለፍን? እውነታው ግን አዲሱ ማልዌር ፣ ፈጣሪዎቹ ስለ ስሙ ብዙም አላሰቡም ፣ አሁን መልካሙን ሁሉ አምጥተው ተጎጂውን በአንድ ጊዜ በሁለት ዓይነት ጥቃቶች ያስደስታቸዋል። በአንድ በኩል, የምስጠራ ፕሮግራሙ (ኮሮናቫይረስ) ተጭኗል, በሌላኛው ደግሞ KPOT infostealer.

ኮሮናቫይረስ ቤዛዌር

ራንሰምዌር ራሱ 44KB የሚለካ ትንሽ ፋይል ነው። ስጋቱ ቀላል ቢሆንም ውጤታማ ነው። የሚፈፀመው ፋይል በዘፈቀደ ስም እራሱን ይቀዳል። %AppData%LocalTempvprdh.exe, እና እንዲሁም በመዝገቡ ውስጥ ቁልፉን ያዘጋጃል WindowsCurrentVersionRun. አንዴ ቅጂው ከተቀመጠ በኋላ ዋናው ይሰረዛል።

ልክ እንደ አብዛኞቹ ቤዛ ዌር፣ ኮሮና ቫይረስ የአካባቢ መጠባበቂያዎችን ለመሰረዝ እና የሚከተሉትን የስርዓት ትዕዛዞችን በማስኬድ የፋይል ጥላን ለማሰናከል ይሞክራል።
C:Windowssystem32VSSADMIN.EXE Delete Shadows /All /Quiet
C:Windowssystem32wbadmin.exe delete systemstatebackup -keepVersions:0 -quiet
C:Windowssystem32wbadmin.exe delete backup -keepVersions:0 -quiet

በመቀጠል, ሶፍትዌሩ ፋይሎችን መመስጠር ይጀምራል. የእያንዳንዱ የተመሰጠረ ፋይል ስም ይይዛል [email protected]__ መጀመሪያ ላይ, እና ሁሉም ነገር ተመሳሳይ ነው.
በተጨማሪም፣ ራንሰምዌር የC ድራይቭን ስም ወደ ኮሮና ቫይረስ ይለውጠዋል።

ዲጂታል ኮሮናቫይረስ - የ Ransomware እና Infostealer ጥምረት

ይህ ቫይረስ ለመበከል ባደረገው በእያንዳንዱ ማውጫ ውስጥ የCoronaVirus.txt ፋይል ይታያል፣ እሱም የክፍያ መመሪያዎችን ይዟል። ቤዛው 0,008 ቢትኮይን ወይም በግምት 60 ዶላር ነው። እኔ መናገር አለብኝ, ይህ በጣም ልከኛ የሆነ ምስል ነው. እና እዚህ ነጥቡ አንድም ደራሲው እራሱን በጣም ሀብታም የመሆን ግብ አላወጣም ... ወይም በተቃራኒው ይህ እያንዳንዱ እቤት ውስጥ እራሱን ማግለል የሚከፍለው በጣም ጥሩ መጠን ነው ብሎ ወስኗል። እስማማለሁ፣ ወደ ውጭ መውጣት ካልቻላችሁ፣ ኮምፒዩተራችሁን እንደገና ለመስራት 60 ዶላር ያን ያህል አይደለም።

ዲጂታል ኮሮናቫይረስ - የ Ransomware እና Infostealer ጥምረት

በተጨማሪም አዲሱ ራንሰምዌር ትንሽ የ DOS executable ፋይል በጊዜያዊ ፋይሎች ፎልደር ውስጥ በመፃፍ በ BootExecute ቁልፍ ስር በመዝገቡ ውስጥ ይመዘግባል በዚህም በሚቀጥለው ጊዜ ኮምፒዩተሩ እንደገና ሲነሳ የክፍያ መመሪያዎች እንዲታዩ ያደርጋል። በስርዓት ቅንጅቶች ላይ በመመስረት, ይህ መልዕክት ላይታይ ይችላል. ሆኖም የሁሉም ፋይሎች ምስጠራ ከተጠናቀቀ በኋላ ኮምፒዩተሩ በራስ-ሰር እንደገና ይጀምራል።

ዲጂታል ኮሮናቫይረስ - የ Ransomware እና Infostealer ጥምረት

KPOT infostealer

ይህ Ransomware ከKPOT ስፓይዌር ጋር አብሮ ይመጣል። ይህ መረጃ ሰጭ ኩኪዎችን እና የተቀመጡ የይለፍ ቃሎችን ከተለያዩ አሳሾች እንዲሁም በፒሲ ላይ ከተጫኑ ጨዋታዎች (እስቲም ጨምሮ) ፣ ጃበር እና የስካይፕ ፈጣን መልእክተኞችን ሊሰርቅ ይችላል። የእሱ ፍላጎት አካባቢ ለኤፍቲፒ እና ቪፒኤን የመዳረሻ ዝርዝሮችንም ያካትታል። ሰላዩ ስራውን ሰርቶ የቻለውን ሁሉ ሰርቆ በሚከተለው ትእዛዝ እራሱን ሰርዟል።

cmd.exe /c ping 127.0.0.1 && del C:tempkpot.exe

ከአሁን በኋላ Ransomware ብቻ አይደለም።

ይህ ጥቃት እንደገና ከኮሮና ቫይረስ ወረርሽኝ ጭብጥ ጋር የተሳሰረ፣ ዘመናዊ ራንሰምዌር ፋይሎችዎን ከማመስጠር ያለፈ ነገር ለማድረግ እንደሚፈልግ በድጋሚ ያረጋግጣል። በዚህ አጋጣሚ ተጎጂው በተለያዩ ድረ-ገጾች እና መግቢያዎች ላይ የይለፍ ቃሎችን የማግኘት አደጋ ያጋጥመዋል። እንደ Maze እና DoppelPaymer ያሉ በከፍተኛ ደረጃ የተደራጁ የሳይበር ወንጀለኞች ቡድኖች ለፋይል መልሶ ማግኛ ክፍያ መክፈል ካልፈለጉ የተሰረቀ የግል መረጃን ለተጠቃሚዎች በማጋለጥ የተካኑ ሆነዋል። በእርግጥ, በድንገት እነሱ በጣም አስፈላጊ አይደሉም, ወይም ተጠቃሚው ለ Ransomware ጥቃቶች የማይጋለጥ የመጠባበቂያ ስርዓት አለው.

ምንም እንኳን ቀላል ቢሆንም፣ አዲሱ ኮሮና ቫይረስ የሳይበር ወንጀለኞች ገቢያቸውን ለማሳደግ እንደሚፈልጉ እና ተጨማሪ የገቢ መፍጠሪያ መንገዶችን እንደሚፈልጉ በግልፅ ያሳያል። ስልቱ ራሱ አዲስ አይደለም-ለበርካታ አመታት የአክሮኒስ ተንታኞች በተጠቂው ኮምፒውተር ላይ የገንዘብ ትሮጃኖችን የሚዘራውን የራንሰምዌር ጥቃቶችን እየተመለከቱ ነው። በተጨማሪም ፣ በዘመናዊ ሁኔታዎች ፣ የራንሰምዌር ጥቃት ከአጥቂዎች ዋና ግብ ትኩረትን ለማዞር በአጠቃላይ እንደ ሳቦታጅ ሆኖ ሊያገለግል ይችላል - የውሂብ መፍሰስ።

በአንድ ወይም በሌላ መንገድ, ከእንደዚህ አይነት አደጋዎች ጥበቃ ማግኘት የሚቻለው የተቀናጀ የሳይበር መከላከያ ዘዴን በመጠቀም ብቻ ነው. እና ዘመናዊ የደህንነት ስርዓቶች የማሽን መማሪያ ቴክኖሎጂዎችን በመጠቀም ሂውሪስቲክ ስልተ ቀመሮችን መጠቀም ከመጀመራቸው በፊት እንኳን እንደነዚህ ያሉትን አደጋዎች (እና ሁለቱም ክፍሎቻቸው) በቀላሉ ያግዳሉ። ከመጠባበቂያ/አደጋ መልሶ ማግኛ ስርዓት ጋር ከተዋሃዱ የመጀመሪያዎቹ የተበላሹ ፋይሎች ወዲያውኑ ይመለሳሉ።

ዲጂታል ኮሮናቫይረስ - የ Ransomware እና Infostealer ጥምረት

ፍላጎት ላላቸው፣ የIoC ፋይሎች ሃሽ ድምሮች፡-

CoronaVirus Ransomware: 3299f07bc0711b3587fe8a1c6bf3ee6bcbc14cb775f64b28a61d72ebcb8968d3
Kpot infostealer: a08db3b44c713a96fe07e0bfc440ca9cf2e3d152a5d13a70d6102c15004c4240

በዳሰሳ ጥናቱ ውስጥ የተመዘገቡ ተጠቃሚዎች ብቻ መሳተፍ ይችላሉ። ስግን እንእባክህን።

በአንድ ጊዜ ምስጠራ እና የውሂብ ስርቆት አጋጥሞህ ያውቃል?

  • 19,0%አዎ 4

  • 42,9%No9

  • 28,6%የበለጠ ንቁ መሆን አለብን6

  • 9,5%እኔ እንኳን አላሰብኩም ነበር2

21 ተጠቃሚዎች ድምጽ ሰጥተዋል። 5 ተጠቃሚዎች ድምፀ ተአቅቦ አድርገዋል።

ምንጭ: hab.com

አስተያየት ያክሉ