Coronavirus gaiak erabiltzen dituzten hainbat mehatxu sarean agertzen jarraitzen dute. Eta gaur erasotzaileen etekinak maximizatzeko nahia argi erakusten duen instantzia interesgarri bati buruzko informazioa partekatu nahi dugu. "2-en-1" kategoriako mehatxuak CoronaVirus deitzen du bere burua. Eta malwareari buruzko informazio zehatza moztuta dago.
Duela hilabete baino gehiago hasi zen koronavirusaren gaiaren ustiapena. Erasotzaileek pandemiaren hedapenari eta hartutako neurriei buruzko informazioarekiko herritarren interesa aprobetxatu zuten. Interneten informatzaile, aplikazio berezi eta gune faltsu ugari agertu dira erabiltzaileak arriskuan jartzen dituztenak, datuak lapurtzen dituztenak eta batzuetan gailuaren edukia enkriptatzen dutenak eta erreskatea eskatzen dutenak. Horixe da Coronavirus Tracker mugikorreko aplikazioak egiten duena, gailurako sarbidea blokeatzen du eta erreskatea eskatzen du.
Malwarea hedatzeko beste arazo bat finantza laguntza neurriekin nahastea izan zen. Herrialde askotan, gobernuak laguntza eta laguntza agindu die herritar arruntei eta enpresen ordezkariei pandemia garaian. Eta ia inon ez da laguntza hori erraza eta gardena jasotzea. Gainera, ekonomikoki lagunduko dietela espero dute askok, baina ez dakite gobernuaren diru-laguntzak jasoko dituztenen zerrendan sartzen diren edo ez. Eta estatutik zerbait jaso dutenek nekez uko egingo diote laguntza osagarriari.
Horixe da, hain zuzen, erasotzaileek aprobetxatzen dutena. Bankuen, finantza-erregulatzaileen eta gizarte segurantzako agintarien izenean gutunak bidaltzen dituzte, laguntza eskainiz. Esteka jarraitu besterik ez duzu behar...
Ez da zaila asmatzea zalantzazko helbide batean klik egin ondoren, pertsona batek phishing gune batean amaitzen duela, non bere finantza-informazioa sartzeko eskatzen zaion. Gehienetan, webgune bat irekitzearekin batera, erasotzaileak ordenagailu bat infektatzen saiatzen dira datu pertsonalak eta, bereziki, finantza informazioa lapurtzera zuzendutako Troiako programa batekin. Batzuetan, mezu elektronikoaren eranskin batek pasahitz bidez babestutako fitxategi bat biltzen du, "gobernuaren laguntza nola lor dezakezunari buruzko informazio garrantzitsua" duen espioi edo ransomware moduan.
Gainera, azkenaldian Infostealer kategoriako programak ere zabaltzen hasi dira sare sozialetan. Esate baterako, Windows-eko erabilgarritasun zilegiren bat deskargatu nahi baduzu, esan wisecleaner[.]best, Infostealer-ek litekeena da horrekin batera etortzea. Estekan klik eginez, erabiltzaileak deskargatzaile bat jasotzen du utilitatearekin batera malwarea deskargatzen duena, eta deskarga-iturria aukeratzen da biktimaren ordenagailuaren konfigurazioaren arabera.
2022 koronavirus
Zergatik egin dugu txango hau guztia? Kontua da malware berriak, zeinaren sortzaileek ez zuten izenaren inguruan denbora luzez pentsatu, onena bereganatu berri duela eta biktima bi eraso motarekin gozatzen duela aldi berean. Alde batetik, enkriptatzeko programa (CoronaVirus) kargatuta dago, eta bestetik, KPOT infostealer.
CoronaVirus ransomwarea
Ransomware bera 44KB neurtzen duen fitxategi txiki bat da. Mehatxua sinplea baina eraginkorra da. Fitxategi exekutagarriak ausazko izen batekin kopiatzen du %AppData%LocalTempvprdh.exe, eta gakoa ere ezartzen du erregistroan WindowsCurrentVersionRun. Behin kopia jarrita, jatorrizkoa ezabatzen da.
Ransomware gehienak bezala, CoronaVirus-ek tokiko babeskopiak ezabatzen eta fitxategien itzala desgaitzen saiatzen da sistemaren komando hauek exekutatuz:
C:Windowssystem32VSSADMIN.EXE Delete Shadows /All /Quiet
C:Windowssystem32wbadmin.exe delete systemstatebackup -keepVersions:0 -quiet
C:Windowssystem32wbadmin.exe delete backup -keepVersions:0 -quiet
Ondoren, softwarea fitxategiak enkriptatzen hasten da. Enkriptatutako fitxategi bakoitzaren izenak edukiko du [email protected]__ hasieran, eta gainerako guztiak berdin jarraitzen du.
Gainera, ransomwareak C diskoaren izena aldatzen du CoronaVirus-era.
Birus honek kutsatzea lortu duen direktorio bakoitzean CoronaVirus.txt fitxategi bat agertzen da, ordainketa-argibideak dituena. Erreskatea 0,008 bitcoin edo $ 60 baino ez da. Esan behar dut, oso zifra apala dela. Eta hemen kontua da, edo egileak ez zuela bere buruari oso aberastea helburu jarri... edo, aitzitik, erabaki zuen kopuru bikaina zela etxean bakartuta zegoen erabiltzaile bakoitzak ordain zezakeela. Ados, kalera ezin baduzu joan, orduan 60 $ zure ordenagailua berriro funtziona dezan ez da horrenbeste.
Horrez gain, Ransomware berriak DOS fitxategi exekutagarri txiki bat idazten du aldi baterako fitxategien karpetan eta erregistroan erregistratzen du BootExecute gakoaren azpian, ordenagailua berrabiarazten den hurrengo aldian ordainketa-argibideak erakutsiko direlarik. Sistemaren ezarpenen arabera, baliteke mezu hau ez agertzea. Hala ere, fitxategi guztiak enkriptatzea amaitu ondoren, ordenagailua automatikoki berrabiaraziko da.
KPOT infostealer
Ransomware hau KPOT espioiarekin ere dator. Infostealer honek cookieak eta gordetako pasahitzak lapur ditzake hainbat arakatzailetatik, baita ordenagailu batean instalatutako jokoetatik (Steam barne), Jabber eta Skype berehalako mezularietatik ere. Bere interes-eremuak FTP eta VPNrako sarbide xehetasunak ere biltzen ditu. Bere lana egin eta ahal duen guztia lapurtu ondoren, espioiak bere burua ezabatzen du komando honekin:
cmd.exe /c ping 127.0.0.1 && del C:tempkpot.exe
Ez da Ransomware bakarrik
Eraso honek, berriro ere koronavirus pandemiaren gaiari lotuta, berriro ere frogatzen du ransomware modernoak zure fitxategiak enkriptatu baino gehiago egin nahi duela. Kasu honetan, biktimak hainbat gune eta ataritako pasahitzak lapurtzeko arriskua du. Maze eta DoppelPaymer bezalako talde ziberkriminal oso antolatuak lapurtutako datu pertsonalak erabiltzen trebe bihurtu dira erabiltzaileei xantaia egiteko, fitxategiak berreskuratzeagatik ordaindu nahi ez badute. Izan ere, bat-batean ez dira hain garrantzitsuak, edo erabiltzaileak Ransomware-ren erasoak jasan ditzakeen babeskopia-sistema bat dauka.
Sinplea izan arren, CoronaVirus berriak argi erakusten du ziberkriminalak ere diru-sarrerak handitu nahi dituztela eta dirua irabazteko bide osagarriak bilatzen ari direla. Estrategia bera ez da berria; duela zenbait urte, Acroniseko analistak biktimen ordenagailuan troiako finantzarioak ere jartzen dituzten ransomware erasoak ikusten ari dira. Gainera, baldintza modernoetan, ransomware eraso batek sabotaje gisa balio dezake, erasotzaileen helburu nagusitik arreta desbideratzeko: datuen ihesa.
Modu batera edo bestera, mehatxu horien aurkako babesa ziberdefentsarako ikuspegi integratua erabiliz soilik lor daiteke. Eta segurtasun sistema modernoek erraz blokeatzen dituzte mehatxu horiek (eta haien bi osagaiak) ikaskuntza automatikoko teknologiak erabiliz algoritmo heuristikoak erabiltzen hasi aurretik ere. Babeskopia/hondamendia berreskuratzeko sistema batekin integratuta badago, kaltetutako lehen fitxategiak berehala berreskuratuko dira.
Interesa dutenentzat, IoC fitxategien hash batuketak:
CoronaVirus Ransomware: 3299f07bc0711b3587fe8a1c6bf3ee6bcbc14cb775f64b28a61d72ebcb8968d3
Kpot infostealer: a08db3b44c713a96fe07e0bfc440ca9cf2e3d152a5d13a70d6102c15004c4240
Erregistratutako erabiltzaileek soilik parte hartu dezakete inkestan. , mesedez.
Inoiz bizi izan al duzu aldibereko enkriptatzea eta datuen lapurreta?
-
19,0%Bai4
-
42,9%9. zenbakia
-
28,6%Adi egon beharko dugu6
-
9,5%Ez nuen pentsatu ere egin2
21 erabiltzailek eman dute botoa. 5 erabiltzaile abstenitu ziren.
Iturria: www.habr.com