Mae bygythiadau amrywiol gan ddefnyddio themâu coronafirws yn parhau i ymddangos ar-lein. A heddiw rydym am rannu gwybodaeth am un enghraifft ddiddorol sy'n dangos yn glir awydd ymosodwyr i wneud y mwyaf o'u helw. Mae'r bygythiad o'r categori “2-mewn-1” yn galw ei hun yn CoronaVirus. Ac mae gwybodaeth fanwl am y malware o dan y toriad.
Dechreuodd ymelwa ar y thema coronafirws fwy na mis yn ôl. Manteisiodd yr ymosodwyr ar ddiddordeb y cyhoedd mewn gwybodaeth am ledaeniad y pandemig a'r mesurau a gymerwyd. Mae nifer fawr o wahanol hysbyswyr, cymwysiadau arbennig a gwefannau ffug wedi ymddangos ar y Rhyngrwyd sy'n peryglu defnyddwyr, yn dwyn data, ac weithiau'n amgryptio cynnwys y ddyfais ac yn mynnu pridwerth. Dyma’n union beth mae ap symudol Coronavirus Tracker yn ei wneud, gan rwystro mynediad i’r ddyfais a mynnu pridwerth.
Mater ar wahân ar gyfer lledaeniad malware oedd y dryswch gyda mesurau cymorth ariannol. Mewn llawer o wledydd, mae'r llywodraeth wedi addo cymorth a chefnogaeth i ddinasyddion cyffredin a chynrychiolwyr busnes yn ystod y pandemig. Ac nid yw bron unman yn derbyn y cymorth hwn yn syml ac yn dryloyw. Ar ben hynny, mae llawer yn gobeithio y byddant yn cael cymorth ariannol, ond nid ydynt yn gwybod a ydynt wedi'u cynnwys yn y rhestr o'r rhai a fydd yn derbyn cymorthdaliadau'r llywodraeth ai peidio. Ac mae'r rhai sydd eisoes wedi derbyn rhywbeth gan y wladwriaeth yn annhebygol o wrthod cymorth ychwanegol.
Dyma'n union y mae ymosodwyr yn manteisio arno. Maent yn anfon llythyrau ar ran banciau, rheoleiddwyr ariannol ac awdurdodau nawdd cymdeithasol, yn cynnig cymorth. Does ond angen i chi ddilyn y ddolen...
Nid yw'n anodd dyfalu, ar ôl clicio ar gyfeiriad amheus, bod person yn y pen draw ar safle gwe-rwydo lle gofynnir iddo nodi ei wybodaeth ariannol. Yn fwyaf aml, ar yr un pryd ag agor gwefan, mae ymosodwyr yn ceisio heintio cyfrifiadur â rhaglen Trojan gyda'r nod o ddwyn data personol ac, yn benodol, gwybodaeth ariannol. Weithiau mae atodiad e-bost yn cynnwys ffeil wedi'i diogelu gan gyfrinair sy'n cynnwys “gwybodaeth bwysig am sut y gallwch chi gael cefnogaeth y llywodraeth” ar ffurf ysbïwedd neu ransomware.
Yn ogystal, yn ddiweddar mae rhaglenni o'r categori Infostealer hefyd wedi dechrau lledaenu ar rwydweithiau cymdeithasol. Er enghraifft, os ydych chi am lawrlwytho rhywfaint o gyfleustodau dilys Windows, dywedwch wisecleaner[.] orau, mae'n ddigon posib y bydd Infostealer yn dod yn bwndelu ag ef. Trwy glicio ar y ddolen, mae'r defnyddiwr yn derbyn lawrlwythwr sy'n lawrlwytho malware ynghyd â'r cyfleustodau, a dewisir y ffynhonnell lawrlwytho yn dibynnu ar ffurfweddiad cyfrifiadur y dioddefwr.
Coronafirws 2022
Pam aethon ni drwy'r daith gyfan hon? Y ffaith yw bod y drwgwedd newydd, na feddyliodd ei grewyr yn rhy hir am yr enw, newydd amsugno'r gorau ac yn swyno'r dioddefwr gyda dau fath o ymosodiadau ar unwaith. Ar un ochr, mae'r rhaglen amgryptio (CoronaVirus) yn cael ei llwytho, ac ar yr ochr arall, KPOT infostealer.
Llestri ransom CoronaVirus
Mae'r ransomware ei hun yn ffeil fach sy'n mesur 44KB. Mae'r bygythiad yn syml ond yn effeithiol. Mae'r ffeil gweithredadwy yn copïo ei hun o dan enw ar hap i %AppData%LocalTempvprdh.exe, a hefyd yn gosod yr allwedd yn y gofrestrfa WindowsCurrentVersionRun. Unwaith y bydd y copi wedi'i osod, caiff y gwreiddiol ei ddileu.
Fel y mwyafrif o ransomware, mae CoronaVirus yn ceisio dileu copïau wrth gefn lleol ac analluogi cysgodi ffeiliau trwy redeg y gorchmynion system canlynol:
C:Windowssystem32VSSADMIN.EXE Delete Shadows /All /Quiet
C:Windowssystem32wbadmin.exe delete systemstatebackup -keepVersions:0 -quiet
C:Windowssystem32wbadmin.exe delete backup -keepVersions:0 -quiet
Nesaf, mae'r meddalwedd yn dechrau amgryptio ffeiliau. Bydd enw pob ffeil wedi'i hamgryptio yn cynnwys [email protected]__ ar y dechrau, ac mae popeth arall yn aros yr un fath.
Yn ogystal, mae'r ransomware yn newid enw'r gyriant C i CoronaVirus.
Ym mhob cyfeiriadur y llwyddodd y firws hwn i'w heintio, mae ffeil CoronaVirus.txt yn ymddangos, sy'n cynnwys cyfarwyddiadau talu. Dim ond 0,008 bitcoins neu tua $60 yw'r pridwerth. Rhaid imi ddweud, mae hwn yn ffigur cymedrol iawn. A dyma'r pwynt naill ai na osododd yr awdur y nod iddo'i hun o ddod yn gyfoethog iawn ... neu, i'r gwrthwyneb, penderfynodd fod hwn yn swm rhagorol y gallai pob defnyddiwr sy'n eistedd gartref ar ei ben ei hun ei dalu. Cytunwch, os na allwch chi fynd allan, yna nid yw $60 i gael eich cyfrifiadur i weithio eto gymaint â hynny.
Yn ogystal, mae'r Ransomware newydd yn ysgrifennu ffeil gweithredadwy DOS fach yn y ffolder ffeiliau dros dro ac yn ei chofrestru yn y gofrestrfa o dan yr allwedd BootExecute fel y bydd cyfarwyddiadau talu yn cael eu dangos y tro nesaf y bydd y cyfrifiadur yn cael ei ailgychwyn. Yn dibynnu ar osodiadau'r system, efallai na fydd y neges hon yn ymddangos. Fodd bynnag, ar ôl i'r holl ffeiliau gael eu hamgryptio, bydd y cyfrifiadur yn ailgychwyn yn awtomatig.
KPOT infostealer
Mae'r Ransomware hwn hefyd yn dod ag ysbïwedd KPOT. Gall y infostealer hwn ddwyn cwcis a chyfrineiriau wedi'u cadw o amrywiaeth o borwyr, yn ogystal ag o gemau sydd wedi'u gosod ar gyfrifiadur personol (gan gynnwys negeswyr Steam), Jabber a Skype. Mae ei faes diddordeb hefyd yn cynnwys manylion mynediad ar gyfer FTP a VPN. Ar ôl gwneud ei waith a dwyn popeth o fewn ei allu, mae'r ysbïwr yn dileu ei hun gyda'r gorchymyn canlynol:
cmd.exe /c ping 127.0.0.1 && del C:tempkpot.exe
Nid dim ond Ransomware ydyw bellach
Mae'r ymosodiad hwn, unwaith eto yn gysylltiedig â thema'r pandemig coronafirws, unwaith eto yn profi bod ransomware modern yn ceisio gwneud mwy nag amgryptio'ch ffeiliau yn unig. Yn yr achos hwn, mae'r dioddefwr mewn perygl o gael cyfrineiriau i wahanol wefannau a phyrth wedi'u dwyn. Mae grwpiau seiberdroseddol hynod drefnus fel Maze a DoppelPaymer wedi dod yn fedrus wrth ddefnyddio data personol wedi'i ddwyn i flacmelio defnyddwyr os nad ydynt am dalu am adfer ffeiliau. Yn wir, yn sydyn nid ydynt mor bwysig, neu mae gan y defnyddiwr system wrth gefn nad yw'n agored i ymosodiadau Ransomware.
Er gwaethaf ei symlrwydd, mae'r CoronaVirus newydd yn dangos yn glir bod seiberdroseddwyr hefyd yn ceisio cynyddu eu hincwm ac yn chwilio am ddulliau ariannol ychwanegol. Nid yw'r strategaeth ei hun yn newydd - ers sawl blwyddyn bellach, mae dadansoddwyr Acronis wedi bod yn arsylwi ymosodiadau ransomware sydd hefyd yn plannu Trojans ariannol ar gyfrifiadur y dioddefwr. Ar ben hynny, mewn amodau modern, gall ymosodiad ransomware fod yn sabotage yn gyffredinol er mwyn dargyfeirio sylw oddi wrth brif nod ymosodwyr - gollwng data.
Un ffordd neu’r llall, dim ond drwy ddefnyddio dull integredig o amddiffyn seiber y gellir diogelu rhag bygythiadau o’r fath. Ac mae systemau diogelwch modern yn rhwystro bygythiadau o'r fath yn hawdd (a'u dwy gydran) hyd yn oed cyn iddynt ddechrau defnyddio algorithmau hewristig gan ddefnyddio technolegau dysgu peiriannau. Os caiff ei integreiddio â system adfer copi wrth gefn / trychineb, bydd y ffeiliau difrodi cyntaf yn cael eu hadfer ar unwaith.
I'r rhai sydd â diddordeb, symiau hash o ffeiliau IoC:
CoronaVirus Ransomware: 3299f07bc0711b3587fe8a1c6bf3ee6bcbc14cb775f64b28a61d72ebcb8968d3
Kpot infostealer: a08db3b44c713a96fe07e0bfc440ca9cf2e3d152a5d13a70d6102c15004c4240
Dim ond defnyddwyr cofrestredig all gymryd rhan yn yr arolwg. os gwelwch yn dda.
Ydych chi erioed wedi profi amgryptio ar yr un pryd a dwyn data?
-
19,0%Oes4
-
42,9%Rhif 9
-
28,6%Bydd yn rhaid i ni fod yn fwy gwyliadwrus6
-
9,5%Wnes i ddim hyd yn oed feddwl amdano2
Pleidleisiodd 21 o ddefnyddwyr. Ymataliodd 5 o ddefnyddwyr.
Ffynhonnell: hab.com