Koronavirus mövzularından istifadə edən müxtəlif təhdidlər onlayn olaraq görünməyə davam edir. Və bu gün biz təcavüzkarların mənfəətlərini artırmaq istəyini açıq şəkildə nümayiş etdirən maraqlı bir nümunə haqqında məlumat paylaşmaq istəyirik. “2-in-1” kateqoriyasından olan təhlükə özünü CoronaVirus adlandırır. Zərərli proqram haqqında ətraflı məlumat kəsilməkdədir.
Koronavirus mövzusunun istismarı bir aydan çox əvvəl başlayıb. Hücum edənlər əhalinin pandemiyanın yayılması və görülən tədbirlərlə bağlı məlumatlara marağından istifadə ediblər. İnternetdə istifadəçilərə güzəştə gedən, məlumatları oğurlayan, bəzən cihazın məzmununu şifrələyən və fidyə tələb edən çoxlu sayda müxtəlif məlumat verənlər, xüsusi proqramlar və saxta saytlar peyda olub. Coronavirus Tracker mobil tətbiqi məhz belə edir, cihaza girişi bloklayır və fidyə tələb edir.
Zərərli proqram təminatının yayılması üçün ayrı bir məsələ maliyyə dəstəyi tədbirləri ilə qarışıqlıq idi. Bir çox ölkələrdə hökumət pandemiya zamanı sadə vətəndaşlara və biznes nümayəndələrinə yardım və dəstək vəd edib. Və demək olar ki, heç bir yerdə bu yardım sadə və şəffaf şəkildə qəbul edilmir. Üstəlik, çoxları onlara maliyyə yardımı olunacağına ümid edir, amma dövlət subsidiyaları alacaqlar siyahısına daxil olub-olmadıqlarını bilmirlər. Artıq dövlətdən nəsə alanlar çətin ki, əlavə yardımdan imtina etsinlər.
Təcavüzkarlar məhz bundan istifadə edirlər. Onlar banklar, maliyyə tənzimləyiciləri və sosial təminat orqanları adından kömək təklif edən məktublar göndərirlər. Sadəcə linki izləmək kifayətdir...
Şübhəli bir ünvana kliklədikdən sonra bir insanın maliyyə məlumatlarını daxil etməsi tələb olunduğu bir fişinq saytına girdiyini təxmin etmək çətin deyil. Çox vaxt veb-saytın açılması ilə eyni vaxtda təcavüzkarlar şəxsi məlumatları və xüsusən də maliyyə məlumatlarını oğurlamağa yönəlmiş Trojan proqramı ilə kompüteri yoluxdurmağa çalışırlar. Bəzən e-poçt qoşması casus proqram və ya ransomware şəklində “dövlət dəstəyini necə ala biləcəyiniz haqqında vacib məlumatları” ehtiva edən parolla qorunan faylı ehtiva edir.
Bundan əlavə, son vaxtlar “Infostealer” kateqoriyasından olan proqramlar da sosial şəbəkələrdə yayılmağa başlayıb. Məsələn, bəzi qanuni Windows yardım proqramını yükləmək istəyirsinizsə, deyin ki, wisecleaner[.]yaxşı, Infostealer onunla birlikdə gələ bilər. Linkə klikləməklə, istifadəçi yardım proqramı ilə birlikdə zərərli proqramı yükləyən yükləyici qəbul edir və yükləmə mənbəyi qurbanın kompüterinin konfiqurasiyasından asılı olaraq seçilir.
Koronavirus 2022
Niyə biz bütün bu ekskursiyadan keçdik? Fakt budur ki, yaradıcıları ad haqqında çox düşünməmiş yeni zərərli proqram, ən yaxşısını mənimsəmiş və qurbanı eyni anda iki növ hücumla sevindirmişdir. Bir tərəfdə şifrələmə proqramı (CoronaVirus), digər tərəfdən isə KPOT məlumat oğurluğu yüklənir.
CoronaVirus ransomware
Ransomware özü 44KB ölçüsündə kiçik bir fayldır. Təhdid sadə, lakin effektivdir. İcra olunan fayl təsadüfi bir ad altında özünü kopyalayır %AppData%LocalTempvprdh.exe, və həmçinin reyestrdə açarı təyin edir WindowsCurrentVersionRun. Kopya yerləşdirildikdən sonra orijinal silinir.
Əksər ransomware kimi, CoronaVirus da aşağıdakı sistem əmrlərini işlətməklə yerli ehtiyat nüsxələri silməyə və faylların kölgələnməsini deaktiv etməyə çalışır:
C:Windowssystem32VSSADMIN.EXE Delete Shadows /All /Quiet
C:Windowssystem32wbadmin.exe delete systemstatebackup -keepVersions:0 -quiet
C:Windowssystem32wbadmin.exe delete backup -keepVersions:0 -quiet
Sonra proqram faylları şifrələməyə başlayır. Hər bir şifrələnmiş faylın adı olacaq [email protected]__ başlanğıcda, qalan hər şey olduğu kimi qalır.
Bundan əlavə, ransomware C sürücüsünün adını CoronaVirus olaraq dəyişdirir.
Bu virusun yoluxdura bildiyi hər bir kataloqda ödəniş təlimatlarını ehtiva edən CoronaVirus.txt faylı görünür. Fidyə cəmi 0,008 bitkoin və ya təxminən 60 dollardır. Deməliyəm ki, bu, çox təvazökar rəqəmdir. Və burada söhbət burasındadır ki, ya müəllif çox varlanmağı qarşısına məqsəd qoymayıb... və ya əksinə, bunun evdə özünü təcrid vəziyyətində oturan hər bir istifadəçinin ödəyə biləcəyi əla məbləğ olduğuna qərar verib. Razılaşın, əgər çölə çıxa bilmirsinizsə, kompüterinizi yenidən işə salmaq üçün 60 dollar o qədər də çox deyil.
Bundan əlavə, yeni Ransomware proqramı müvəqqəti fayllar qovluğuna kiçik bir DOS icra edilə bilən faylı yazır və onu BootExecute açarı altında reyestrdə qeyd edir ki, kompüter növbəti dəfə yenidən işə salındıqda ödəniş təlimatları göstərilsin. Sistem parametrlərindən asılı olaraq bu mesaj görünməyə bilər. Bununla belə, bütün faylların şifrələnməsi tamamlandıqdan sonra kompüter avtomatik olaraq yenidən başlayacaq.
KPOT məlumat oğurluğu
Bu Ransomware həm də KPOT casus proqramı ilə gəlir. Bu məlumat oğurluğu müxtəlif brauzerlərdən, eləcə də kompüterdə quraşdırılmış oyunlardan (o cümlədən Steam), Jabber və Skype ani messencerlərindən kukiləri və saxlanmış parolları oğurlaya bilər. Onun maraq dairəsinə FTP və VPN üçün giriş təfərrüatları da daxildir. İşini yerinə yetirən və bacardığı hər şeyi oğurlayan casus aşağıdakı əmrlə özünü silir:
cmd.exe /c ping 127.0.0.1 && del C:tempkpot.exe
Bu, artıq yalnız Ransomware deyil
Koronavirus pandemiyası mövzusuna bir daha bağlanan bu hücum bir daha sübut edir ki, müasir ransomware yalnız fayllarınızı şifrələməkdən daha çox şey etməyə çalışır. Bu halda qurban müxtəlif saytlara və portallara parolların oğurlanması riskini daşıyır. Maze və DoppelPaymer kimi yüksək səviyyədə təşkil olunmuş kibercinayətkar qruplar, faylların bərpası üçün pul ödəmək istəmədikləri halda, oğurlanmış şəxsi məlumatlardan istifadəçiləri şantaj etmək üçün istifadə etməkdə mahir olublar. Həqiqətən, birdən onlar o qədər də vacib deyil və ya istifadəçinin Ransomware hücumlarına həssas olmayan ehtiyat sistemi var.
Sadəliyinə baxmayaraq, yeni CoronaVirus açıq şəkildə nümayiş etdirir ki, kibercinayətkarlar da gəlirlərini artırmağa çalışırlar və əlavə pul qazanma vasitələri axtarırlar. Strategiyanın özü yeni deyil – artıq bir neçə ildir ki, Acronis analitikləri qurbanın kompüterinə maliyyə troyanları yerləşdirən ransomware hücumlarını müşahidə edirlər. Üstəlik, müasir şəraitdə ransomware hücumu diqqəti təcavüzkarların əsas məqsədindən - məlumat sızmasından yayındırmaq üçün ümumiyyətlə təxribat rolunu oynaya bilər.
Bu və ya digər şəkildə bu cür təhdidlərdən qorunma yalnız kibermüdafiəyə inteqrasiya olunmuş yanaşmadan istifadə etməklə əldə edilə bilər. Müasir təhlükəsizlik sistemləri belə təhdidləri (və onların hər iki komponentini) maşın öyrənmə texnologiyalarından istifadə edərək evristik alqoritmlərdən istifadə etməyə başlamazdan əvvəl asanlıqla bloklayır. Əgər ehtiyat nüsxə/fəlakət bərpa sistemi ilə inteqrasiya olunarsa, ilk zədələnmiş fayllar dərhal bərpa olunacaq.
Maraqlananlar üçün IoC fayllarının hash məbləğləri:
CoronaVirus Ransomware: 3299f07bc0711b3587fe8a1c6bf3ee6bcbc14cb775f64b28a61d72ebcb8968d3
Kpot infostealer: a08db3b44c713a96fe07e0bfc440ca9cf2e3d152a5d13a70d6102c15004c4240
Sorğuda yalnız qeydiyyatdan keçmiş istifadəçilər iştirak edə bilər. xahiş edirəm.
Heç vaxt eyni vaxtda şifrələmə və məlumat oğurluğu ilə qarşılaşmısınızmı?
-
19,0%Bəli 4
-
42,9%№9
-
28,6%Biz daha ayıq olmalıyıq6
-
9,5%Bu barədə heç düşünmədim 2
21 istifadəçi səs verib. 5 istifadəçi bitərəf qalıb.
Mənbə: www.habr.com