Divès menas ki sèvi ak tèm coronavirus kontinye parèt sou entènèt. Ak jodi a nou vle pataje enfòmasyon sou yon egzanp enteresan ki klèman demontre dezi a nan atakè yo maksimize pwofi yo. Menas ki soti nan kategori "2-in-1" rele tèt li CoronaVirus. Ak enfòmasyon detaye sou malveyan an se anba koupe a.
Eksplwatasyon tèm coronavirus la te kòmanse plis pase yon mwa de sa. Atakè yo te pwofite enterè piblik la nan enfòmasyon sou pwopagasyon pandemi an ak mezi yo pran. Yon gwo kantite enfòmatè diferan, aplikasyon espesyal ak sit fo parèt sou entènèt la ki konpwomèt itilizatè yo, vòlè done, epi pafwa ankripte sa ki nan aparèy la epi mande yon ranson. Sa a se egzakteman sa aplikasyon mobil Coronavirus Tracker fè, bloke aksè nan aparèy la epi mande yon ranson.
Yon pwoblèm separe pou gaye malveyan se te konfizyon ak mezi sipò finansye. Nan anpil peyi, gouvènman an te pwomèt asistans ak sipò bay sitwayen òdinè ak reprezantan biznis pandan pandemi an. Ak prèske okenn kote ap resevwa asistans sa a senp epi transparan. Anplis, anpil espere ke yo pral ede finansyèman, men yo pa konnen si yo enkli nan lis la nan moun ki pral resevwa sibvansyon gouvènman an oswa ou pa. Ak moun ki te deja resevwa yon bagay nan men eta a pa gen anpil chans refize èd adisyonèl.
Sa a se egzakteman sa atakè yo pran avantaj de. Yo voye lèt sou non bank yo, regilatè finansye yo ak otorite sekirite sosyal yo, yo ofri èd. Ou jis bezwen swiv lyen an...
Li pa difisil pou devine ke apre klike sou yon adrès ki gen dout, yon moun fini sou yon sit èskrokri kote yo mande l pou antre enfòmasyon finansye li. Pi souvan, ansanm ak louvri yon sit entènèt, atakè yo eseye enfekte yon òdinatè ak yon pwogram Trojan ki vize a vòlè done pèsonèl ak, an patikilye, enfòmasyon finansye. Pafwa yon atachman imel gen ladann yon fichye ki pwoteje modpas ki gen "enfòmasyon enpòtan sou fason ou ka jwenn sipò gouvènman an" sou fòm espyon oswa ransomware.
Anplis de sa, dènyèman pwogram ki soti nan kategori Infostealer yo te kòmanse gaye tou sou rezo sosyal yo. Pou egzanp, si ou vle telechaje kèk sèvis piblik lejitim Windows, di wisecleaner[.]pi bon, Infostealer ka byen vini ansanm ak li. Lè w klike sou lyen an, itilizatè a resevwa yon downloader ki telechaje malveyan ansanm ak sèvis piblik la, epi yo chwazi sous la telechaje depann sou konfigirasyon òdinatè viktim nan.
kowonaviris 2022
Poukisa nou te pase tout vwayaj sa a? Reyalite a se ke nouvo malveyan an, kreyatè yo ki pa t 'panse twò lontan sou non an, te jis absòbe tout pi bon an ak pran plezi viktim nan ak de kalite atak nan yon fwa. Sou yon bò, pwogram nan chifreman (CoronaVirus) chaje, ak sou lòt la, KPOT infostealer.
Ransomware CoronaVirus
Ransomware nan tèt li se yon ti fichye ki mezire 44KB. Menas la senp men efikas. Fichye ègzekutabl la kopye tèt li anba yon non o aza %AppData%LocalTempvprdh.exe, epi tou li mete kle a nan rejis la WindowsCurrentVersionRun. Yon fwa yo mete kopi a, orijinal la efase.
Menm jan ak pifò ransomware, CoronaVirus eseye efase sovgad lokal yo epi enfim lonbraj fichye lè li kouri kòmandman sistèm sa yo:
C:Windowssystem32VSSADMIN.EXE Delete Shadows /All /Quiet
C:Windowssystem32wbadmin.exe delete systemstatebackup -keepVersions:0 -quiet
C:Windowssystem32wbadmin.exe delete backup -keepVersions:0 -quiet
Apre sa, lojisyèl an kòmanse ankripte dosye yo. Non chak fichye chiffré ap genyen [email protected]__ nan kòmansman an, ak tout lòt bagay rete menm jan an.
Anplis de sa, ransomware la chanje non kondwi C a an CoronaVirus.
Nan chak anyè ke viris sa a jere enfekte, yon dosye CoronaVirus.txt parèt, ki gen enstriksyon pou peye. Ranson an se sèlman 0,008 bitcoins oswa apeprè $ 60. Mwen dwe di, sa a se yon figi trè modès. Ak isit la pwen an se swa ke otè a pa te fikse tèt li objektif pou vin rich anpil ... oswa, okontrè, li te deside ke sa a se yon kantite lajan ekselan ke chak itilizatè chita nan kay la nan izolasyon pwòp tèt ou ka peye. Dakò, si ou pa ka ale deyò, Lè sa a, $ 60 pou fè òdinatè w lan travay ankò se pa sa anpil.
Anplis de sa, nouvo Ransomware ekri yon ti fichye ègzekutabl DOS nan katab dosye tanporè a epi anrejistre li nan rejis la anba kle BootExecute pou enstriksyon peman yo pral montre pwochen fwa òdinatè a rdemare. Tou depan de anviwònman sistèm yo, mesaj sa a ka pa parèt. Sepandan, apre chifreman tout fichye yo fini, òdinatè a ap rekòmanse otomatikman.
KPOT infostealer
Ransomware sa a tou vini ak espyon KPOT. Infostealer sa a ka vòlè bonbon ak modpas sove nan yon varyete navigatè, osi byen ke nan jwèt enstale sou yon PC (ki gen ladan vapè), Jabber ak Skype mesaje enstantane. Zòn enterè li gen ladan tou detay aksè pou FTP ak VPN. Èske w fin fè travay li epi li vòlè tout sa li kapab, espyon an efase tèt li ak lòd sa a:
cmd.exe /c ping 127.0.0.1 && del C:tempkpot.exe
Li pa jis Ransomware ankò
Atak sa a, yon lòt fwa ankò mare ak tèm nan pandemi coronavirus, yon lòt fwa ankò pwouve ke ransomware modèn ap chèche fè plis pase jis ankripte dosye ou yo. Nan ka sa a, viktim nan kouri risk pou yo gen modpas nan divès sit ak portail yo vòlè li. Gwoup sibèrkriminèl ki trè òganize tankou Maze ak DoppelPaymer te vin konpetan nan itilize done pèsonèl yo vòlè pou fè chantaj itilizatè yo si yo pa vle peye pou rekiperasyon dosye yo. Vreman vre, toudenkou yo pa tèlman enpòtan, oswa itilizatè a gen yon sistèm backup ki pa sansib a atak Ransomware.
Malgre senplisite li, nouvo CoronaVirus la montre klèman ke sibèkriminèl yo ap chèche ogmante revni yo epi yo ap chèche lòt mwayen pou monetize. Estrateji a li menm se pa nouvo-pou plizyè ane kounye a, analis Acronis yo te obsève atak ransomware ki tou plante trwayen finansye sou òdinatè viktim nan. Anplis, nan kondisyon modèn, yon atak ransomware ka jeneralman sèvi kòm yon sabotaj yo nan lòd yo detounen atansyon nan objektif prensipal atakè yo - flit done.
Yon fason oswa yon lòt, pwoteksyon kont menas sa yo ka sèlman reyalize lè l sèvi avèk yon apwòch entegre nan defans cyber. Ak sistèm sekirite modèn yo fasil bloke menas sa yo (ak tou de eleman yo) menm anvan yo kòmanse sèvi ak algoritm euristik lè l sèvi avèk teknoloji aprantisaj machin. Si yo entegre ak yon sistèm rekiperasyon backup/dezas, premye dosye ki domaje yo pral imedyatman retabli.
Pou moun ki enterese, sòm hash nan dosye IoC:
CoronaVirus Ransomware: 3299f07bc0711b3587fe8a1c6bf3ee6bcbc14cb775f64b28a61d72ebcb8968d3
Kpot infostealer: a08db3b44c713a96fe07e0bfc440ca9cf2e3d152a5d13a70d6102c15004c4240
Se sèlman itilizatè ki anrejistre ki ka patisipe nan sondaj la. , tanpri.
Èske w te janm fè eksperyans similtane chifreman ak vòl done?
-
19,0%Wi4
-
42,9%Non9
-
28,6%Nou pral gen plis vijilan6
-
9,5%Mwen pa t menm panse osijè de sa2
21 itilizatè yo te vote. 5 itilizatè te absteni.
Sous: www.habr.com