Diversaj minacoj uzantaj koronavirusajn temojn daŭre aperas interrete. Kaj hodiaŭ ni volas dividi informojn pri unu interesa ekzemplo, kiu klare montras la deziron de atakantoj maksimumigi siajn profitojn. La minaco de la kategorio "2-en-1" nomas sin KoronaVirus. Kaj detalaj informoj pri la malware estas sub la tranĉo.
Ekspluato de la koronavirusa temo komenciĝis antaŭ pli ol monato. La atakantoj profitis la intereson de la publiko pri informoj pri la disvastiĝo de la pandemio kaj la mezuroj prenitaj. Granda nombro da malsamaj informantoj, specialaj aplikoj kaj falsaj retejoj aperis en la Interreto, kiuj kompromitas uzantojn, ŝtelas datumojn kaj foje ĉifras la enhavon de la aparato kaj postulas elaĉetomonon. Ĝuste tion faras la poŝtelefona programo Coronavirus Tracker, blokante aliron al la aparato kaj postulante elaĉetomonon.
Aparta afero por la disvastiĝo de malware estis la konfuzo kun financaj subtenaj mezuroj. En multaj landoj, la registaro promesis helpon kaj subtenon al ordinaraj civitanoj kaj komercaj reprezentantoj dum la pandemio. Kaj preskaŭ nenie ricevas ĉi tiun helpon simpla kaj travidebla. Cetere multaj esperas, ke ili estos finance helpataj, sed ne scias ĉu ili estas inkluzivitaj en la liston de tiuj, kiuj ricevos registarajn subvenciojn aŭ ne. Kaj tiuj, kiuj jam ricevis ion de la ŝtato, verŝajne ne rifuzos aldonan helpon.
Ĝuste ĉi tion profitas atakantoj. Ili sendas leterojn nome de bankoj, financaj reguligistoj kaj socialasekurecaj aŭtoritatoj, proponante helpon. Vi nur bezonas sekvi la ligilon...
Ne estas malfacile konjekti, ke post klakado sur dubinda adreso, persono alvenas al phishing-ejo, kie oni petas lin enigi siajn financajn informojn. Plej ofte, samtempe kun malfermo de retejo, atakantoj provas infekti komputilon per troja programo celanta ŝteli personajn datumojn kaj precipe financajn informojn. Foje retpoŝta aldonaĵo inkluzivas pasvort-protektan dosieron, kiu enhavas "gravajn informojn pri kiel vi povas ricevi registaran subtenon" en formo de spionvaro aŭ ransomware.
Krome, lastatempe ankaŭ programoj de la kategorio Infostealer komencis disvastiĝi en sociaj retoj. Ekzemple, se vi volas elŝuti iun legitiman Vindozan ilon, diru wisecleaner[.]plej bone, Infostealer povas bone veni kun ĝi. Alklakante la ligilon, la uzanto ricevas elŝutilon, kiu elŝutas malware kune kun la utileco, kaj la elŝuta fonto estas elektita laŭ la agordo de la komputilo de la viktimo.
Koronavirus 2022
Kial ni trapasis ĉi tiun tutan ekskurson? Fakte, la nova malware, kies kreintoj ne tro longe pensis pri la nomo, ĵus sorbis ĉion plej bonan kaj ĝojigas la viktimon per du specoj de atakoj samtempe. Unuflanke, la ĉifrada programo (CoronaVirus) estas ŝarĝita, kaj aliflanke, KPOT infostealer.
KoronaVirus ransomware
La ransomware mem estas malgranda dosiero je 44KB. La minaco estas simpla sed efika. La rulebla dosiero kopias sin sub hazarda nomo al %AppData%LocalTempvprdh.exe, kaj ankaŭ metas la ŝlosilon en la registro WindowsCurrentVersionRun. Post kiam la kopio estas metita, la originalo estas forigita.
Kiel plej multaj ransomware, CoronaVirus provas forigi lokajn sekurkopiojn kaj malebligi dosierombradon per la sekvaj sistemaj komandoj:
C:Windowssystem32VSSADMIN.EXE Delete Shadows /All /Quiet
C:Windowssystem32wbadmin.exe delete systemstatebackup -keepVersions:0 -quiet
C:Windowssystem32wbadmin.exe delete backup -keepVersions:0 -quiet
Poste, la programaro komencas ĉifri dosierojn. La nomo de ĉiu ĉifrita dosiero enhavos [email protected]__ komence, kaj ĉio alia restas la sama.
Krome, la ransomware ŝanĝas la nomon de la C-disko al CoronaVirus.
En ĉiu dosierujo, kiun ĉi tiu viruso sukcesis infekti, aperas dosiero CoronaVirus.txt, kiu enhavas instrukciojn pri pago. La elaĉetomono estas nur 0,008 bitcoins aŭ proksimume $60. Mi devas diri, ĉi tio estas tre modesta figuro. Kaj ĉi tie la afero estas aŭ ke la aŭtoro ne fiksis al si la celon tre riĉiĝi... aŭ, male, li decidis, ke tio estas bonega sumo, kiun ĉiu uzanto sidanta hejme en memizolado povus pagi. Konsentu, se vi ne povas eliri eksteren, tiam $60 por ke via komputilo denove funkcias ne estas tiom multe.
Krome, la nova Ransomware skribas malgrandan plenumeblan dosieron de DOS en la dosierujo de provizoraj dosieroj kaj registras ĝin en la registro sub la ŝlosilo BootExecute, por ke la instrukcioj pri pago estos montritaj la venontan fojon, kiam la komputilo rekomencos. Depende de la sistemaj agordoj, ĉi tiu mesaĝo eble ne aperos. Tamen, post kiam ĉifrado de ĉiuj dosieroj estas kompleta, la komputilo aŭtomate rekomencos.
KPOT infostealer
Ĉi tiu Ransomware ankaŭ venas kun KPOT-spiono. Ĉi tiu infoŝtelisto povas ŝteli kuketojn kaj konservitajn pasvortojn de diversaj retumiloj, same kiel de ludoj instalitaj sur komputilo (inkluzive de Steam), Jabber kaj Skype tujmesaĝiloj. Lia areo de intereso ankaŭ inkluzivas alirajn detalojn por FTP kaj VPN. Farinte sian laboron kaj ŝtelante ĉion, kion ĝi povas, la spiono forigas sin per la sekva komando:
cmd.exe /c ping 127.0.0.1 && del C:tempkpot.exe
Ĝi ne plu estas nur Ransomware
Ĉi tiu atako, denove ligita al la temo de la koronavirus-pandemio, denove pruvas, ke moderna ransomware serĉas fari pli ol nur ĉifri viajn dosierojn. En ĉi tiu kazo, la viktimo riskas havi pasvortojn al diversaj retejoj kaj portaloj ŝtelitaj. Tre fakorganizitaj ciberkrimgrupoj kiel ekzemple Maze kaj DoppelPaymer fariĝis lertaj pri uzado de ŝtelitaj personaj datumoj por ĉantaĝi uzantojn se ili ne volas pagi por dosierreakiro. Efektive, subite ili ne estas tiel gravaj, aŭ la uzanto havas rezervan sistemon, kiu ne estas susceptible al Ransomware-atakoj.
Malgraŭ ĝia simpleco, la nova KoronaVirus klare pruvas, ke ciberkrimuloj ankaŭ serĉas pliigi sian enspezon kaj serĉas pliajn rimedojn de monetigo. La strategio mem ne estas nova—de pluraj jaroj, analizistoj de Acronis observas atakojn pri ransomware, kiuj ankaŭ plantas financajn trojanojn sur la komputilo de la viktimo. Krome, en modernaj kondiĉoj, ransomware-atako ĝenerale povas funkcii kiel sabotado por deturni atenton de la ĉefa celo de atakantoj - datumfluo.
Unu maniero aŭ alia, protekto kontraŭ tiaj minacoj povas esti atingita nur per integra aliro al ciberdefendo. Kaj modernaj sekurecaj sistemoj facile blokas tiajn minacojn (kaj ambaŭ iliaj komponantoj) eĉ antaŭ ol ili komencas uzi heŭristikajn algoritmojn uzantajn maŝinlernajn teknologiojn. Se integrite kun rezerva/katastrofa reakiro, la unuaj damaĝitaj dosieroj tuj estos restarigitaj.
Por interesatoj, hash sumoj de IoC dosieroj:
CoronaVirus Ransomware: 3299f07bc0711b3587fe8a1c6bf3ee6bcbc14cb775f64b28a61d72ebcb8968d3
Kpot infostealer: a08db3b44c713a96fe07e0bfc440ca9cf2e3d152a5d13a70d6102c15004c4240
Nur registritaj uzantoj povas partopreni la enketon. , bonvolu.
Ĉu vi iam spertis samtempan ĉifradon kaj ŝtelon de datumoj?
-
19,0%Jes4
-
42,9%No9
-
28,6%Ni devos esti pli viglaj6
-
9,5%Mi eĉ ne pensis pri tio2
21 uzantoj voĉdonis. 5 uzantoj sindetenis.
fonto: www.habr.com