Ýmsar ógnir sem nota kransæðaveiruþemu halda áfram að birtast á netinu. Og í dag viljum við deila upplýsingum um eitt áhugavert dæmi sem sýnir greinilega löngun árásarmanna til að hámarka hagnað sinn. Ógnin frá „2-í-1“ flokknum kallar sig CoronaVirus. Og nákvæmar upplýsingar um spilliforritið eru undir högg að sækja.
Nýting á kransæðaveiruþema hófst fyrir meira en mánuði síðan. Árásarmennirnir nýttu sér áhuga almennings á upplýsingum um útbreiðslu faraldursins og ráðstafanir sem gripið var til. Mikill fjöldi mismunandi uppljóstrara, sérstök forrit og falssíður hafa birst á Netinu sem koma notendum í hættu, stela gögnum og dulkóða stundum innihald tækisins og krefjast lausnargjalds. Þetta er nákvæmlega það sem Coronavirus Tracker farsímaforritið gerir, hindrar aðgang að tækinu og krefst lausnargjalds.
Sérstakt mál fyrir útbreiðslu spilliforrita var ruglingurinn við fjárhagsaðstoð. Í mörgum löndum hafa stjórnvöld lofað aðstoð og stuðningi við almenna borgara og fulltrúa atvinnulífsins meðan á heimsfaraldri stendur. Og nánast hvergi er að fá þessa aðstoð einföld og gagnsæ. Þar að auki vona margir að þeim verði hjálpað fjárhagslega, en vita ekki hvort þeir eru á lista yfir þá sem fá ríkisstyrki eða ekki. Og þeir sem þegar hafa fengið eitthvað frá ríkinu eru ólíklegir til að neita sér um frekari aðstoð.
Þetta er einmitt það sem árásarmenn nýta sér. Þeir senda bréf fyrir hönd banka, fjármálaeftirlita og almannatryggingayfirvalda og bjóða aðstoð. Þú þarft bara að fylgja hlekknum...
Það er ekki erfitt að giska á að eftir að hafa smellt á vafasamt heimilisfang endar einstaklingur á vefveiðasíðu þar sem hann er beðinn um að slá inn fjárhagsupplýsingar sínar. Oftast, samtímis opnun vefsíðu, reyna árásarmenn að smita tölvu með trójuforriti sem miðar að því að stela persónulegum gögnum og einkum fjárhagsupplýsingum. Stundum inniheldur tölvupóstviðhengi lykilorðsvarða skrá sem inniheldur „mikilvægar upplýsingar um hvernig þú getur fengið stuðning stjórnvalda“ í formi njósna- eða lausnarhugbúnaðar.
Að auki hafa nýlega þættir úr Infostealer flokknum einnig byrjað að dreifast á samfélagsnetum. Til dæmis, ef þú vilt hlaða niður einhverju lögmætu Windows tóli, segðu wisecleaner[.]best, Infostealer gæti vel fylgt með því. Með því að smella á hlekkinn fær notandinn niðurhalara sem hleður niður spilliforritum ásamt tólinu og niðurhalsuppspretta er valin eftir uppsetningu tölvu fórnarlambsins.
Coronavirus 2022
Hvers vegna fórum við í gegnum alla þessa skoðunarferð? Staðreyndin er sú að nýja spilliforritið, sem höfundarnir hugsuðu ekki of lengi um nafnið, hefur bara gleypt allt það besta og gleður fórnarlambið með tvenns konar árásum í einu. Á annarri hliðinni er dulkóðunarforritið (CoronaVirus) hlaðið og á hinni KPOT infostealer.
CoronaVirus lausnarhugbúnaður
Lausnarhugbúnaðurinn sjálfur er lítil skrá sem mælir 44KB. Ógnin er einföld en áhrifarík. The executable skrá afritar sig undir handahófi nafni til %AppData%LocalTempvprdh.exe, og setur einnig lykilinn í skránni WindowsCurrentVersionRun. Þegar afritið er komið fyrir er frumritinu eytt.
Eins og flestir lausnarhugbúnaður, reynir CoronaVirus að eyða staðbundnum afritum og slökkva á skuggi skráa með því að keyra eftirfarandi kerfisskipanir:
C:Windowssystem32VSSADMIN.EXE Delete Shadows /All /Quiet
C:Windowssystem32wbadmin.exe delete systemstatebackup -keepVersions:0 -quiet
C:Windowssystem32wbadmin.exe delete backup -keepVersions:0 -quiet
Næst byrjar hugbúnaðurinn að dulkóða skrár. Nafn hverrar dulkóðuðu skráar mun innihalda [email protected]__ í upphafi og allt annað helst óbreytt.
Að auki breytir lausnarhugbúnaðurinn nafni C drifsins í CoronaVirus.
Í hverri möppu sem þessi vírus náði að smita birtist CoronaVirus.txt skrá sem inniheldur greiðsluleiðbeiningar. Lausnargjaldið er aðeins 0,008 bitcoins eða um það bil $60. Ég verð að segja að þetta er mjög hófleg tala. Og hér er málið annað hvort að höfundur setti sér ekki það markmið að verða mjög ríkur... eða þvert á móti ákvað hann að þetta væri frábær upphæð sem hver notandi sem situr heima í einangrun gæti borgað. Sammála, ef þú getur ekki farið út, þá eru $60 ekki svo mikið til að fá tölvuna þína til að virka aftur.
Að auki skrifar nýi Ransomware litla DOS keyrsluskrá í möppuna tímabundið og skráir hana í skránni undir BootExecute lyklinum þannig að greiðsluleiðbeiningar birtast næst þegar tölvan er endurræst. Það fer eftir kerfisstillingum að þessi skilaboð birtast ekki. Hins vegar, eftir að dulkóðun allra skráa er lokið, mun tölvan endurræsa sig sjálfkrafa.
KPOT upplýsingastealer
Þessi Ransomware kemur einnig með KPOT njósnaforritum. Þessi upplýsingastealer getur stolið smákökum og vistuðum lykilorðum úr ýmsum vöfrum, sem og úr leikjum sem eru settir upp á tölvu (þar á meðal Steam), Jabber og Skype spjallforrit. Áhugasvið hans inniheldur einnig aðgangsupplýsingar fyrir FTP og VPN. Eftir að hafa unnið starf sitt og stolið öllu sem hann getur eyðir njósnarinn sjálfum sér með eftirfarandi skipun:
cmd.exe /c ping 127.0.0.1 && del C:tempkpot.exe
Það er ekki bara Ransomware lengur
Þessi árás, enn og aftur bundin við þema kórónavírusfaraldursins, sannar enn og aftur að nútíma lausnarhugbúnaður leitast við að gera meira en bara dulkóða skrárnar þínar. Í þessu tilviki á fórnarlambið á hættu að lykilorðum á ýmsar síður og gáttir verði stolið. Mjög skipulagðir netglæpahópar eins og Maze og DoppelPaymer eru orðnir duglegir að nota stolin persónuleg gögn til að kúga notendur ef þeir vilja ekki borga fyrir endurheimt skráa. Reyndar, skyndilega eru þau ekki svo mikilvæg, eða notandinn er með öryggisafritunarkerfi sem er ekki næmt fyrir Ransomware árásum.
Þrátt fyrir einfaldleikann sýnir nýja CoronaVirus greinilega að netglæpamenn eru einnig að reyna að auka tekjur sínar og eru að leita að frekari leiðum til tekjuöflunar. Stefnan sjálf er ekki ný - í nokkur ár núna hafa sérfræðingar Acronis fylgst með lausnarhugbúnaðarárásum sem planta einnig fjárhagslegum Tróverjum á tölvu fórnarlambsins. Þar að auki, við nútíma aðstæður, getur lausnarhugbúnaðarárás almennt þjónað sem skemmdarverk til að beina athyglinni frá aðalmarkmiði árásarmanna - gagnaleka.
Með einum eða öðrum hætti er vernd gegn slíkum ógnum aðeins hægt að ná með samþættri nálgun á netvarnir. Og nútíma öryggiskerfi loka auðveldlega fyrir slíkar ógnir (og báða þætti þeirra) jafnvel áður en þau byrja að nota heuristic reiknirit með því að nota vélanámstækni. Ef það er samþætt við öryggisafrit/hamfarabatakerfi verða fyrstu skemmdu skrárnar strax endurheimtar.
Fyrir áhugasama, hash summar IoC skrár:
CoronaVirus Ransomware: 3299f07bc0711b3587fe8a1c6bf3ee6bcbc14cb775f64b28a61d72ebcb8968d3
Kpot infostealer: a08db3b44c713a96fe07e0bfc440ca9cf2e3d152a5d13a70d6102c15004c4240
Aðeins skráðir notendur geta tekið þátt í könnuninni. , takk.
Hefur þú einhvern tíma upplifað samtímis dulkóðun og gagnaþjófnað?
-
19,0%Já4
-
42,9%No9
-
28,6%Við verðum að vera meira á varðbergi6
-
9,5%Ég hugsaði ekki einu sinni um það 2
21 notendur greiddu atkvæði. 5 notendur sátu hjá.
Heimild: www.habr.com