Կորոնավիրուսային թեմաներով տարբեր սպառնալիքներ շարունակում են հայտնվել համացանցում։ Եվ այսօր մենք ցանկանում ենք կիսվել տեղեկատվություն մեկ հետաքրքիր դեպքի մասին, որը հստակ ցույց է տալիս հարձակվողների ցանկությունը առավելագույնի հասցնել իրենց շահույթը: «2-ը 1-ում» կատեգորիայի սպառնալիքն իրեն անվանում է Կորոնավիրուս: Իսկ չարամիտ ծրագրի մասին մանրամասն տեղեկատվությունը կտրված է:
Կորոնավիրուսի թեմայի շահագործումը սկսվել է ավելի քան մեկ ամիս առաջ։ Հարձակվողներն օգտվել են համաճարակի տարածման մասին տեղեկատվության և ձեռնարկված միջոցների նկատմամբ հանրության հետաքրքրությունից։ Ինտերնետում հայտնվել են հսկայական թվով տարբեր իրազեկիչներ, հատուկ հավելվածներ և կեղծ կայքեր, որոնք վտանգի են ենթարկում օգտատերերին, գողանում տվյալներ, երբեմն էլ կոդավորում են սարքի բովանդակությունը և փրկագին պահանջում։ Սա հենց այն է, ինչ անում է Coronavirus Tracker բջջային հավելվածը՝ արգելափակելով մուտքը դեպի սարք և պահանջելով փրկագին։
Վնասակար ծրագրերի տարածման առանձին խնդիր էր ֆինանսական աջակցության միջոցների հետ շփոթելը: Շատ երկրներում կառավարությունը խոստացել է օգնություն և աջակցություն համավարակի ժամանակ հասարակ քաղաքացիներին և բիզնեսի ներկայացուցիչներին։ Եվ գրեթե ոչ մի տեղ այս օգնությունը պարզ և թափանցիկ չէ: Ավելին, շատերը հույս ունեն, որ իրենց ֆինանսական օգնություն կտրամադրվի, բայց չգիտեն՝ ընդգրկվա՞ծ են պետական դոտացիաներ ստացողների ցուցակում, թե՞ ոչ։ Իսկ նրանք, ովքեր արդեն ինչ-որ բան ստացել են պետությունից, դժվար թե հրաժարվեն լրացուցիչ օգնությունից։
Սա հենց այն է, ինչից օգտվում են հարձակվողները: Նրանք նամակներ են ուղարկում բանկերի, ֆինանսական կարգավորիչների և սոցիալական ապահովության մարմինների անունից՝ առաջարկելով օգնություն: Պարզապես պետք է հետևել հղմանը...
Դժվար չէ կռահել, որ կասկածելի հասցեի վրա սեղմելուց հետո մարդը հայտնվում է ֆիշինգի կայքում, որտեղ նրան խնդրում են մուտքագրել իր ֆինանսական տվյալները: Ամենից հաճախ, վեբկայք բացելու հետ միաժամանակ, հարձակվողները փորձում են համակարգիչը վարակել տրոյական ծրագրով, որն ուղղված է անձնական տվյալների և, մասնավորապես, ֆինանսական տեղեկատվության գողությանը: Երբեմն էլփոստի հավելվածը ներառում է գաղտնաբառով պաշտպանված ֆայլ, որը պարունակում է «կարևոր տեղեկատվություն այն մասին, թե ինչպես կարող եք պետական աջակցություն ստանալ»՝ լրտեսող ծրագրերի կամ փրկագինների տեսքով:
Բացի այդ, վերջերս սոցիալական ցանցերում սկսել են տարածվել նաև Infostealer կատեգորիայի հաղորդումները։ Օրինակ, եթե ցանկանում եք ներբեռնել Windows-ի որոշ օրինական կոմունալ ծրագիր, ասեք wisecleaner[.]best, Infostealer-ը կարող է միանալ դրա հետ: Սեղմելով հղման վրա՝ օգտատերը ստանում է ներբեռնիչ, որը ներբեռնում է չարամիտ ծրագրեր՝ օգտակար ծրագրի հետ միասին, և ներբեռնման աղբյուրն ընտրվում է՝ կախված զոհի համակարգչի կոնֆիգուրացիայից:
Կորոնավիրուս 2022
Ինչու՞ մենք անցանք այս ամբողջ էքսկուրսիայի միջով: Փաստն այն է, որ նոր չարամիտ ծրագիրը, որի ստեղծողները շատ երկար չեն մտածել անվան մասին, պարզապես կլանել է ամենալավը և ուրախացնում զոհին միանգամից երկու տեսակի հարձակումներով։ Մի կողմից բեռնված է կոդավորման ծրագիրը (CoronaVirus), իսկ մյուս կողմից՝ KPOT infostealer-ը։
CoronaVirus փրկագին
Փրկագինն ինքնին փոքր ֆայլ է՝ 44 ԿԲ: Սպառնալիքը պարզ է, բայց արդյունավետ: Գործարկվող ֆայլն ինքն իրեն պատճենում է պատահական անվան տակ %AppData%LocalTempvprdh.exe, և նաև կարգավորում է բանալին ռեեստրում WindowsCurrentVersionRun. Պատճենը տեղադրվելուց հետո բնօրինակը ջնջվում է:
Ինչպես փրկագին ծրագրերի մեծ մասը, CoronaVirus-ը փորձում է ջնջել տեղական կրկնօրինակները և անջատել ֆայլերի ստվերավորումը՝ գործարկելով հետևյալ համակարգի հրամանները.
C:Windowssystem32VSSADMIN.EXE Delete Shadows /All /Quiet
C:Windowssystem32wbadmin.exe delete systemstatebackup -keepVersions:0 -quiet
C:Windowssystem32wbadmin.exe delete backup -keepVersions:0 -quiet
Հաջորդը, ծրագիրը սկսում է գաղտնագրել ֆայլերը: Յուրաքանչյուր գաղտնագրված ֆայլի անունը կպարունակի [email protected]__ սկզբում, իսկ մնացած ամեն ինչ մնում է նույնը:
Բացի այդ, փրկագինը փոխում է C սկավառակի անունը՝ դառնալով CoronaVirus:
Յուրաքանչյուր գրացուցակում, որը հաջողվել է վարակել այս վիրուսը, հայտնվում է CoronaVirus.txt ֆայլ, որը պարունակում է վճարման հրահանգներ։ Փրկագինը կազմում է ընդամենը 0,008 բիթքոյն կամ մոտավորապես 60 դոլար: Պետք է ասեմ, որ սա շատ համեստ ցուցանիշ է։ Եվ այստեղ խոսքն այն մասին է, որ հեղինակն իր առջեւ շատ հարստանալու նպատակ չի դրել... կամ, ընդհակառակը, որոշել է, որ սա հիանալի գումար է, որը կարող է վճարել տանը ինքնամեկուսացման մեջ նստած յուրաքանչյուր օգտատեր։ Համաձայն եմ, եթե դուք չեք կարող դուրս գալ դրսում, ապա ձեր համակարգիչը նորից աշխատեցնելու համար 60 դոլարն այդքան էլ շատ չէ:
Բացի այդ, նոր Ransomware-ը գրում է մի փոքր DOS գործարկվող ֆայլ ժամանակավոր ֆայլերի թղթապանակում և գրանցում այն ռեեստրում BootExecute ստեղնի տակ, որպեսզի հաջորդ անգամ համակարգիչը վերագործարկվի վճարման հրահանգները: Կախված համակարգի կարգավորումներից, այս հաղորդագրությունը կարող է չհայտնվել: Այնուամենայնիվ, բոլոր ֆայլերի գաղտնագրման ավարտից հետո համակարգիչը ինքնաբերաբար կվերագործարկվի:
KPOT ինֆոգող
Այս Ransomware-ը գալիս է նաև KPOT լրտեսող ծրագրերով: Այս ինֆոգողացողը կարող է գողանալ թխուկներ և պահպանված գաղտնաբառեր տարբեր բրաուզերներից, ինչպես նաև համակարգչում տեղադրված խաղերից (ներառյալ Steam), Jabber և Skype ակնթարթային մեսենջերներից: Նրա հետաքրքրության ոլորտը ներառում է նաև մուտքի մանրամասներ FTP-ի և VPN-ի համար: Կատարելով իր գործը և գողանալով այն ամենը, ինչ կարող է, լրտեսն իրեն ջնջում է հետևյալ հրամանով.
cmd.exe /c ping 127.0.0.1 && del C:tempkpot.exe
Դա այլևս միայն Ransomware չէ
Այս հարձակումը, որը ևս մեկ անգամ կապված է կորոնավիրուսային համաճարակի թեմայի հետ, ևս մեկ անգամ ապացուցում է, որ ժամանակակից փրկագին փորձում է անել ավելին, քան պարզապես գաղտնագրել ձեր ֆայլերը: Այս դեպքում տուժողը սպառնում է տարբեր կայքերի և պորտալների գաղտնաբառեր գողանալու վտանգի տակ: Բարձր կազմակերպված կիբերհանցագործ խմբերը, ինչպիսիք են Maze-ը և DoppelPaymer-ը, հմուտ են դարձել օգտագործել գողացված անձնական տվյալները՝ շանտաժի ենթարկելու օգտատերերին, եթե նրանք չեն ցանկանում վճարել ֆայլերի վերականգնման համար: Իրոք, հանկարծ դրանք այնքան էլ կարևոր չեն, կամ օգտատերը ունի պահուստային համակարգ, որը ենթակա չէ Ransomware հարձակումներին:
Չնայած իր պարզությանը, նոր CoronaVirus-ը հստակ ցույց է տալիս, որ կիբերհանցագործները նույնպես ձգտում են ավելացնել իրենց եկամուտը և փնտրում են դրամայնացման լրացուցիչ միջոցներ: Ռազմավարությունն ինքնին նոր չէ. արդեն մի քանի տարի է, ինչ Acronis-ի վերլուծաբանները դիտարկում են փրկագինների հարձակումները, որոնք նաև ֆինանսական տրոյականներ են տեղադրում զոհի համակարգչի վրա: Ավելին, ժամանակակից պայմաններում փրկագին հարձակումը կարող է ընդհանուր առմամբ ծառայել որպես դիվերսիա՝ շեղելու ուշադրությունը հարձակվողների հիմնական նպատակից՝ տվյալների արտահոսքից:
Այսպես թե այնպես, նման սպառնալիքներից պաշտպանությունը կարելի է ձեռք բերել միայն կիբերպաշտպանության ինտեգրված մոտեցման միջոցով: Եվ ժամանակակից անվտանգության համակարգերը հեշտությամբ արգելափակում են նման սպառնալիքները (և դրանց երկու բաղադրիչները) նույնիսկ նախքան նրանք կսկսեն օգտագործել մեքենայական ուսուցման տեխնոլոգիաներ օգտագործող էվրիստիկ ալգորիթմներ: Եթե ինտեգրված է պահեստային/աղետների վերականգնման համակարգին, առաջին վնասված ֆայլերը անմիջապես կվերականգնվեն:
Հետաքրքրվողների համար IoC ֆայլերի հաշման գումարները.
CoronaVirus Ransomware: 3299f07bc0711b3587fe8a1c6bf3ee6bcbc14cb775f64b28a61d72ebcb8968d3
Kpot infostealer: a08db3b44c713a96fe07e0bfc440ca9cf2e3d152a5d13a70d6102c15004c4240
Հարցմանը կարող են մասնակցել միայն գրանցված օգտվողները։ , խնդրում եմ:
Դուք երբևէ զգացե՞լ եք միաժամանակյա կոդավորում և տվյալների գողություն:
-
19,0%Այո 4
-
42,9%No9
-
28,6%Մենք պետք է ավելի զգոն լինենք6
-
9,5%Ես նույնիսկ չէի մտածում դրա մասին 2
Քվեարկել է 21 օգտատեր։ 5 օգտատեր ձեռնպահ է մնացել։
Source: www.habr.com