У сетцы працягваюць з'яўляцца розныя пагрозы, якія выкарыстоўваюць тэматыку каранавіруса. І сёння мы хочам падзяліцца інфармацыяй аб адным цікавым экзэмпляры, які наглядна дэманструе імкненне зламыснікаў максымізаваць свой прыбытак. Пагроза з катэгорыі "2-у-1" так і называе сябе CoronaVirus. А падрабязная інфармацыя аб зловреде - пад катом.
Эксплуатацыя тэмы каранавіруса пачалася ўжо больш за месяц таму. Зламыснікі выкарыстоўвалі зацікаўленасць грамадскасці інфармацыяй аб распаўсюджванні пандэміі, аб прынятых мерах. У сетцы з'явілася велізарная колькасць розных інформар, спецыяльных прыкладанняў і фальшывых сайтаў, якія кампраметуюць карыстальнікаў, крадуць дадзеныя, а часам – шыфруюць змесціва прылады і патрабуюць выкуп. Менавіта так паступае мабільнае прыкладанне Coronavirus Tracker, якое блакавала доступ да прылады і патрабавала выкуп.
Асобнай тэмай для распаўсюджвання шкоднасных праграм стала блытаніна з мерамі фінансавай падтрымкі. У многіх краінах урад паабяцаў дапамогу і падтрымку простым грамадзянам і прадстаўнікам бізнесу падчас пандэміі. І практычна нідзе атрыманьне гэтай дапамогі не адбываецца проста і празрыста. Больш за тое, многія спадзяюцца на тое, што ім дапамогуць фінансава, але не ведаюць - ці ўваходзяць яны ў пералік тых, хто атрымае дзяржаўныя субсідыі, ці не ўваходзяць. Ды і тыя, хто ўжо атрымаў нешта ад дзяржавы, ці наўрад адмовяцца ад дадатковай дапамогі.
Менавіта гэтым і карыстаюцца зламыснікі. Яны рассылаюць лісты ад асобы банкаў, фінансавых рэгулятараў і органаў сацабароны, у якіх прапануецца атрымаць дапамогу. Трэба толькі перайсці па спасылцы…
Не складана здагадацца, што пасля кліку па сумнеўным адрасе чалавек аказваецца на фішынгавым сайце, дзе яму прапануецца ўвесці сваю фінансавую інфармацыю. Часцей за ўсё адначасова з адкрыццём сайта зламыснікі спрабуюць заразіць кампутар траянскай праграмай, накіраванай на крадзеж персанальных дадзеных і асабліва, фінансавай інфармацыі. Часам ва ўкладанні да ліста знаходзіцца абаронены паролем файл, у якім знаходзіцца "важная інфармацыя аб тым, як вы можаце атрымаць падтрымку ад урада" у выглядзе шпіёнскай праграмы або праграмы-вымагальніка.
Акрамя гэтага, у апошні час у сацыяльных сетках таксама сталі распаўсюджвацца праграмы з катэгорыі Infostealer. Напрыклад, калі вы жадаеце загрузіць нейкую легітымную ўтыліту Windows, скажам, wisecleaner[.]best, у камплекце з ёй суцэль можа ісці Infostealer. Націснуўшы на спасылку, карыстач атрымлівае загрузнік, які спампоўвае разам з утылітай шкоднаснае ПА, прычым крыніца загрузкі выбіраецца ў залежнасці ад канфігурацыі кампутара ахвяры.
Каранавірус 2022
Нашто мы правялі ўвесь гэты экскурс? Справа ў тым, што новае шкоднаснае ПА, стваральнікі якога не занадта доўга разважалі над назовам, як раз увабрала ў сябе ўсё лепшае і цешыць ахвяру адразу двума выглядамі нападаў. З аднаго боку загружаецца праграма-шыфравальшчык (CoronaVirus), а з іншай – KPOT infostealer.
CoronaVirus ransomware
Сам шыфравальшчык уяўляе сабой невялікі файл памерам 44KB. Пагроза простая, але эфектыўная. Выконваны файл капіюе сябе пад выпадковым імем у %AppData%LocalTempvprdh.exe, а таксама устанаўлівае ключ у рэестры WindowsCurrentVersionRun. Пасля размяшчэння копіі арыгінал выдаляецца.
Як і большасць праграм-вымагальнікаў CoronaVirus спрабуе выдаліць лакальныя рэзервовыя копіі і адключыць shadowing файлаў, выканаўшы наступныя сістэмныя каманды:
C:Windowssystem32VSSADMIN.EXE Delete Shadows /All /Quiet
C:Windowssystem32wbadmin.exe delete systemstatebackup -keepVersions:0 -quiet
C:Windowssystem32wbadmin.exe delete backup -keepVersions:0 -quiet
Далей ПЗ пачынае шыфраваць файлы. Імя кожнага зашыфраванага файла будзе змяшчаць [email protected]__ у пачатку, а ўсё астатняе застаецца ранейшым.
Акрамя гэтага праграма-вымагальнік мяняе назву дыска C на CoronaVirus.
У кожнай дырэкторыі, якую паспеў заразіць гэты вірус, з'яўляецца файл CoronaVirus.txt, у якім прыведзены інструкцыі па аплаце. Выкуп складае ўсяго 0,008 біткоінаў або прыкладна $60. Трэба сказаць, гэта вельмі сьціплы паказчык. І тут справа альбо ў тым, што аўтар не паставіў сабе мэты моцна ўзбагаціцца… альбо наадварот вырашыў, што гэта выдатная сума, якую можа заплаціць кожны карыстач, які сядзіць хаты на самаізаляцыі. Пагадзіцеся, калі вам нельга выходзіць на вуліцу, то $60 за тое, каб кампутар зноў зарабіў - гэта не так ужо шмат.
Акрамя гэтага новае Ransomware запісвае невялікі выкананы файл DOS у тэчцы для часавых файлаў і рэгіструе яго ў рэестры пад ключом BootExecute, каб інструкцыі па выкананні плацяжу былі паказаны пры наступнай перазагрузцы кампутара. У залежнасці ад параметраў сістэм гэтае паведамленне можа быць і не паказана. Тым не менш, пасля завяршэння шыфравання ўсіх файлаў, кампутар аўтаматычна перазагрузіцца.
KPOT infostealer
У камплекце з гэтым Ransomware ідзе таксама шпіёнскае ПЗ KPOT. Гэты infostealer можа выкрасці cookies і захаваныя паролі з самых розных браўзэраў, а таксама з усталяваных на ПК гульняў (уключаючы Steam), месэнджараў Jabber і Skype. У сферу яго інтарэсаў уваходзяць і рэквізіты доступу да FTP і VPN. Зрабіўшы сваю справу і ўкраўшы ўсё, што можна, шпіён выдаляе сам сябе наступнай камандай:
cmd.exe /c ping 127.0.0.1 && del C:tempkpot.exe
Ужо не толькі Ransomware
Гэты напад, ізноў прывязаны да тэматыкі пандэміі каранавіруса, яшчэ раз даказвае, што сучасныя праграмы-вымагальнікі імкнуцца не толькі зашыфраваць вашы файлы. У дадзеным выпадку ахвяра рызыкуе сутыкнуцца з крадзяжом пароляў да розных сайтаў і парталаў. Такія высокаарганізаваныя групы кіберзлачынцаў як Maze і DoppelPaymer ужо налаўчыліся выкарыстоўваць выкрадзеныя персанальныя дадзеныя, каб шантажаваць карыстачоў, калі яны не жадаюць плаціць за аднаўленне файлаў. Сапраўды, раптам яны не так важныя, ці ў карыстача варта сістэма рэзервовага капіявання, якая не паддаецца нападу Ransomware.
Нягледзячы на сваю прастату, новы CoronaVirus наглядна дэманструе, што і кіберзлачынцы імкнуцца павысіць свае даходы і шукаюць дадатковыя сродкі манетызацыі. Сама стратэгія не новая – ужо некалькі гадоў аналітыкі Acronis назіраюць напады шыфравальшчыкаў, таксама якія падсаджваюць фінансавыя траяны на кампутар ахвяры. Больш за тое, у сучасных умовах атака шыфравальшчыка наогул можа насіць ролю дыверсіі, каб адцягнуць увагу ад асноўнай мэты зламыснікаў - уцечкі дадзеных.
Так ці інакш, забяспечыць абарону ад падобных пагроз можна толькі выкарыстоўваючы комплексны падыход да кіберабароны. А сучасныя сістэмы бяспекі лёгка блакуюць падобныя пагрозы (прычым абедзве іх складнікаў) яшчэ да пачатку працы за кошт эўрыстычных алгарытмаў, якія выкарыстоўваюць тэхналогіі машыннага навучання. У выпадку інтэграцыі з сістэмай рэзервовага капіявання/аварыйнага аднаўлення, першыя пашкоджаныя файлы будуць адразу ж адноўлены.
Для зацікаўленых, хэш-сумы файлаў IoC:
CoronaVirus Ransomware: 3299f07bc0711b3587fe8a1c6bf3ee6bcbc14cb775f64b28a61d72ebcb8968d3
Kpot infostealer: a08db3b44c713a96fe07e0bfc440ca9cf2e3d152a5d13a70d6102c15004c4240
Толькі зарэгістраваныя карыстачы могуць удзельнічаць у апытанні. , Калі ласка.
А вы калі-небудзь сутыкаліся з адначасовым шыфраваннем і крадзяжом дадзеных?
-
19,0%Так4
-
42,9%Няма9
-
28,6%Прыйдзецца быць пільней6
-
9,5%Нават думак пра гэта не было2
Прагаласаваў 21 карыстальнік. Устрымаліся 5 карыстальнікаў.
Крыніца: habr.com