Tha diofar chunnartan a’ cleachdadh cuspairean coronavirus fhathast a’ nochdadh air-loidhne. Agus an-diugh tha sinn airson fiosrachadh a roinn mu aon eisimpleir inntinneach a tha a’ nochdadh gu soilleir miann luchd-ionnsaigh na prothaidean aca a mheudachadh. Tha an cunnart bhon roinn “2-in-1” ga ainmeachadh fhèin CoronaVirus. Agus tha fiosrachadh mionaideach mun malware fon ghearradh.
Thòisich cleachdadh cuspair coronavirus o chionn còrr is mìos. Ghabh an luchd-ionnsaigh brath air ùidh a’ phobaill ann am fiosrachadh mu sgaoileadh a’ ghalair lèir-sgaoilte agus na ceumannan a chaidh a ghabhail. Tha àireamh mhòr de luchd-fiosrachaidh eadar-dhealaichte, tagraidhean sònraichte agus làraich meallta air nochdadh air an eadar-lìn a bhios a’ dèanamh cron air luchd-cleachdaidh, a ’goid dàta, agus uaireannan a’ cuairteachadh susbaint an inneil agus ag iarraidh airgead-fuadain. Is e seo dìreach a bhios an aplacaid gluasadach Coronavirus Tracker a’ dèanamh, a chuir casg air ruigsinneachd air an inneal agus a dh ’iarr airgead-fuadain.
B’ e cùis eadar-dhealaichte airson sgaoileadh malware an troimh-chèile le ceumannan taic ionmhais. Ann am mòran dhùthchannan, tha an riaghaltas air taic agus taic a ghealltainn do shaoranaich àbhaisteach agus riochdairean gnìomhachais aig àm a’ ghalair lèir-sgaoilte. Agus cha mhòr nach eil àite sam bith a 'faighinn a' chuideachaidh seo sìmplidh agus follaiseach. A bharrachd air an sin, tha mòran an dòchas gun tèid an cuideachadh gu h-ionmhasail, ach chan eil fios aca a bheil iad air an liosta den fheadhainn a gheibh subsadaidhean riaghaltais no nach eil. Agus chan eil e coltach gum bi an fheadhainn a tha air rudeigin fhaighinn bhon stàit mar-thà a 'diùltadh cuideachadh a bharrachd.
Is e seo dìreach a bhios luchd-ionnsaigh a ’gabhail brath. Bidh iad a’ cur litrichean às leth bancaichean, riaghladairean ionmhais agus ùghdarrasan tèarainteachd shòisealta, a’ tabhann cuideachadh. Cha leig thu leas ach an ceangal a leantainn...
Chan eil e duilich a bhith a’ tomhas, às deidh dha briogadh air seòladh amharasach, gun tig neach gu crìch air làrach fiasgaich far an tèid iarraidh air am fiosrachadh ionmhais aige a chuir a-steach. Mar as trice, aig an aon àm ri fosgladh làrach-lìn, bidh luchd-ionnsaigh a ’feuchainn ri coimpiutair a ghlacadh le prògram Trojan a tha ag amas air dàta pearsanta a ghoid agus, gu sònraichte, fiosrachadh ionmhais. Aig amannan bidh ceangal post-d a’ toirt a-steach faidhle le dìon facal-faire anns a bheil “fiosrachadh cudromach mu mar a gheibh thu taic riaghaltais” ann an cruth spyware no ransomware.
A bharrachd air an sin, o chionn ghoirid tha prògraman bhon roinn Infostealer cuideachd air tòiseachadh a ’sgaoileadh air lìonraidhean sòisealta. Mar eisimpleir, ma tha thu airson goireas dligheach Windows a luchdachadh sìos, can wisecleaner[.] as fheàrr, is dòcha gun tig Infostealer còmhla ris. Le bhith a ’cliogadh air a’ cheangal, gheibh an neach-cleachdaidh inneal luchdachadh sìos a bhios a ’luchdachadh sìos malware còmhla ris a’ ghoireas, agus tha an stòr luchdaich sìos air a thaghadh a rèir rèiteachadh coimpiutair an neach-fulaing.
Coronavirus 2022
Carson a chaidh sinn tron turas gu lèir seo? Is e an fhìrinn gu bheil an malware ùr, nach do smaoinich an luchd-cruthachaidh ro fhada mun ainm, dìreach air a h-uile càil a ghabhail a-steach agus a’ toirt toileachas don neach-fulang le dà sheòrsa ionnsaigh aig an aon àm. Air aon taobh, tha am prògram crioptachaidh (CoronaVirus) air a luchdachadh, agus air an taobh eile, KPOT infostealer.
Bathar-bog bathair corona-bhìoras
Tha an ransomware fhèin na fhaidhle beag le tomhas 44KB. Tha an cunnart sìmplidh ach èifeachdach. Bidh am faidhle so-ghnìomhaichte ga lethbhreac fhèin fo ainm air thuaiream gu %AppData%LocalTempvprdh.exe, agus cuideachd a 'suidheachadh an iuchair anns a' chlàr WindowsCurrentVersionRun. Aon uair ‘s gu bheil an leth-bhreac air a chuir, thèid an dreach tùsail a dhubhadh às.
Coltach ris a’ mhòr-chuid de ransomware, bidh CoronaVirus a’ feuchainn ri cùl-taic ionadail a dhubhadh às agus sgàileadh fhaidhlichean a chuir dheth le bhith a’ ruith na h-òrdughan siostam a leanas:
C:Windowssystem32VSSADMIN.EXE Delete Shadows /All /Quiet
C:Windowssystem32wbadmin.exe delete systemstatebackup -keepVersions:0 -quiet
C:Windowssystem32wbadmin.exe delete backup -keepVersions:0 -quiet
An uairsin, bidh am bathar-bog a 'tòiseachadh a' crioptachadh faidhlichean. Bidh ainm gach faidhle crioptaichte [email protected]__ an toiseach, agus bidh a h-uile càil eile mar a tha e.
A bharrachd air an sin, bidh an ransomware ag atharrachadh ainm an draibhear C gu CoronaVirus.
Anns gach eòlaire a fhuair am bhìoras seo gabhaltach, nochdaidh faidhle CoronaVirus.txt, anns a bheil stiùireadh pàighidh. Chan eil anns an airgead-fuadain ach 0,008 bitcoins no timcheall air $60. Feumaidh mi ràdh, is e figear gu math beag a tha seo. Agus is e seo a’ phuing an dàrna cuid nach do shuidhich an t-ùghdar an t-amas dha fhèin a bhith gu math beairteach ... no, air an làimh eile, cho-dhùin e gur e ìre fìor mhath a bha seo a b’ urrainn don h-uile neach-cleachdaidh a bha nan suidhe aig an taigh leotha fhèin a phàigheadh. Aontaich, mura h-urrainn dhut a dhol a-mach, chan eil sin cho mòr ri $60 airson do choimpiutair obrachadh a-rithist.
A bharrachd air an sin, bidh an Ransomware ùr a’ sgrìobhadh faidhle beag so-ghnìomhaichte DOS anns a’ phasgan faidhlichean sealach agus ga chlàradh sa chlàr fon iuchair BootExecute gus an tèid stiùireadh pàighidh a shealltainn an ath thuras a thèid an coimpiutair ath-thòiseachadh. A rèir roghainnean an t-siostaim, chan fhaod an teachdaireachd seo nochdadh. Ach, às deidh a h-uile faidhle a chrioptachadh, tòisichidh an coimpiutair gu fèin-ghluasadach.
Stòr-dàta KPOT
Bidh an Ransomware seo cuideachd a’ tighinn le spyware KPOT. Faodaidh an infostealer seo briosgaidean a ghoid agus faclan-faire a shàbhaladh bho ghrunn bhrobhsairean, a bharrachd air geamannan air an stàladh air PC (a’ toirt a-steach Steam), teachdairean sa bhad Jabber agus Skype. Tha an raon ùidh aige cuideachd a’ toirt a-steach mion-fhiosrachadh ruigsinneachd airson FTP agus VPN. An dèidh dha a chuid obrach a dhèanamh agus a h-uile rud as urrainn dha a ghoid, sguabaidh an neach-brathaidh e fhèin leis an òrdugh a leanas:
cmd.exe /c ping 127.0.0.1 && del C:tempkpot.exe
Chan e dìreach Ransomware a th’ ann tuilleadh
Tha an ionnsaigh seo, a-rithist ceangailte ri cuspair a’ ghalair lèir-sgaoilte coronavirus, a’ dearbhadh a-rithist gu bheil ransomware ùr-nodha a’ feuchainn ri barrachd a dhèanamh na dìreach na faidhlichean agad a chrioptachadh. Anns a 'chùis seo, tha an neach-fulang ann an cunnart gun tèid faclan-faire a bhith air an goid gu diofar làraich agus puirt. Tha buidhnean cybercriminal àrd-eagraichte leithid Maze agus DoppelPaymer air fàs comasach air dàta pearsanta a chaidh a ghoid a chleachdadh gus luchd-cleachdaidh a dhubh-phostadh mura h-eil iad airson pàigheadh airson ath-nuadhachadh faidhle. Gu dearbh, gu h-obann chan eil iad cho cudromach, no tha siostam cùl-taic aig an neach-cleachdaidh nach eil buailteach do ionnsaighean Ransomware.
A dh’ aindeoin cho sìmplidh ‘s a tha e, tha an CoronaVirus ùr a’ sealltainn gu soilleir gu bheil cybercriminals cuideachd a ’feuchainn ris an teachd-a-steach aca àrdachadh agus gu bheil iad a’ coimhead airson dòighean airgid a bharrachd. Chan eil an ro-innleachd fhèin ùr - airson grunn bhliadhnaichean a-nis, tha luchd-anailis Acronis air a bhith a’ cumail sùil air ionnsaighean ransomware a bhios cuideachd a’ cur Trojans ionmhais air coimpiutair an neach-fulaing. A bharrachd air an sin, ann an suidheachaidhean an latha an-diugh, mar as trice faodaidh ionnsaigh ransomware a bhith na shabotage gus aire a tharraing air falbh bho phrìomh amas luchd-ionnsaigh - aodion dàta.
Aon dòigh no dòigh eile, chan urrainnear dìon an aghaidh bagairtean mar sin a choileanadh ach le bhith a’ cleachdadh dòigh-obrach aonaichte a thaobh dìon saidhbear. Agus bidh siostaman tèarainteachd an latha an-diugh gu furasta a’ cuir casg air bagairtean mar sin (agus an dà chuid de na pàirtean aca) eadhon mus tòisich iad a’ cleachdadh algoirmean heuristic a’ cleachdadh teicneòlasan ionnsachaidh innealan. Ma thèid am filleadh a-steach le siostam cùl-taic / ath-bheothachadh mòr-thubaist, thèid na ciad fhaidhlichean millte ath-nuadhachadh sa bhad.
Dhaibhsan aig a bheil ùidh, suimean hash de fhaidhlichean IoC:
CoronaVirus Ransomware: 3299f07bc0711b3587fe8a1c6bf3ee6bcbc14cb775f64b28a61d72ebcb8968d3
Kpot infostealer: a08db3b44c713a96fe07e0bfc440ca9cf2e3d152a5d13a70d6102c15004c4240
Chan fhaod ach luchd-cleachdaidh clàraichte pàirt a ghabhail san sgrùdadh. , mas e do thoil e.
An d’ fhuair thu eòlas air crioptachadh aig an aon àm agus goid dàta?
-
19,0%Seadh4
-
42,9%Chan eil 9
-
28,6%Feumaidh sinn a bhith nas furachail6
-
9,5%Cha do smaoinich mi eadhon mu dheidhinn2
Bhòt 21 neach-cleachdaidh. Sheall 5 luchd-cleachdaidh.
Source: www.habr.com