Интернетте коронавирус темаларын колдонгон ар кандай коркунучтар пайда болууда. Ал эми бүгүн биз чабуулчулардын кирешесин көбөйтүүгө болгон каалоосун ачык көрсөткөн бир кызыктуу инстанция жөнүндө маалымат менен бөлүшкүбүз келет. "2-in-1" категориясындагы коркунуч өзүн CoronaVirus деп атайт. Ал эми кесепеттүү программа тууралуу толук маалымат кесип астында.
Коронавирус темасын пайдалануу бир айдан ашык убакыт мурун башталган. Кол салгандар коомчулуктун пандемиянын жайылышы жана көрүлгөн чаралар тууралуу маалыматка кызыгуусунан пайдаланышкан. Интернетте колдонуучуларды бузуп, маалыматтарды уурдап, кээде аппараттын мазмунун шифрлеп, кун талап кылган көптөгөн ар кандай информаторлор, атайын тиркемелер жана жасалма сайттар пайда болду. Coronavirus Tracker мобилдик колдонмосу дал ушундай кылат, аппаратка кирүүгө бөгөт коюп, кун талап кылат.
Кесепеттүү программанын жайылышынын өзүнчө маселеси каржылык колдоо чаралары менен чаташуу болду. Көптөгөн өлкөлөрдө өкмөт пандемия учурунда карапайым жарандарга жана бизнес өкүлдөрүнө жардам жана колдоо убада кылган. Жана дээрлик эч жерде бул жардам жөнөкөй жана ачык-айкын кабыл алынбайт. Анан калса, көбү каржылык жактан жардам болот деп үмүттөнүшөт, бирок алар мамлекеттен субсидия ала тургандардын тизмесине кирдиби же жокпу, билбейт. Ал эми мамлекеттен бир нерсе алгандар кошумча жардамдан баш тартышы күмөн.
Дал мына ушундан кол салгандар пайдаланышат. Алар банктардын, финансылык жөнгө салуучу органдардын жана социалдык коргоо органдарынын атынан жардам сунуштап кат жөнөтүшөт. Сиз жөн гана шилтемеге өтүңүз...
Шектүү даректи чыкылдаткандан кийин, адам фишинг сайтына кирип, анын каржылык маалыматын киргизүүнү суранат деп болжолдоо кыйын эмес. Көбүнчө, веб-сайтты ачуу менен бир эле учурда, чабуулчулар жеке маалыматтарды жана, атап айтканда, каржылык маалыматты уурдоого багытталган трояндык программа менен компьютерди жуктурууга аракет кылышат. Кээде электрондук почта тиркемесинде шпиондук программа же ransomware түрүндөгү "мамлекеттик колдоону кантип алууга боло тургандыгы жөнүндө маанилүү маалыматты" камтыган сырсөз менен корголгон файл камтылган.
Кошумчалай кетсек, акыркы убакта социалдык тармактарда Infostealer категориясындагы программалар да тарай баштады. Мисалы, эгер сиз кандайдыр бир мыйзамдуу Windows утилитасын жүктөп алгыңыз келсе, анда wisecleaner[.]мыкты деп айтыңыз, Infostealer аны менен коштолушу мүмкүн. Шилтемени чыкылдатуу менен колдонуучу утилита менен бирге зыяндуу программаны жүктөөчү жүктөөчүнү алат жана жүктөө булагы жабырлануучунун компьютеринин конфигурациясына жараша тандалат.
Коронавирус 2022
Эмне үчүн биз бул экскурсиядан бардык? Чындыгында, жаратуучулар аты жөнүндө көп ойлонбогон жаңы кесепеттүү программа бардык жакшы нерселерди сиңирип, жабырлануучуну бир эле учурда эки түрдөгү чабуулдар менен кубандырат. Бир тараптан шифрлөө программасы (CoronaVirus) жүктөлсө, экинчи жагынан KPOT маалымат уурдоочу.
CoronaVirus ransomware
Ransomware өзү 44KB өлчөмүндөгү кичинекей файл. Коркунуч жөнөкөй, бирок натыйжалуу. Аткарылуучу файл өзүн кокус ат менен көчүрөт %AppData%LocalTempvprdh.exe, ошондой эле реестрдеги ачкычты орнотот WindowsCurrentVersionRun. Көчүрмө коюлгандан кийин түпнуска жок кылынат.
Көпчүлүк ransomware сыяктуу эле, CoronaVirus локалдык камдык көчүрмөлөрдү жок кылууга жана төмөнкү тутум буйруктарын аткаруу менен файлдардын көлөкөлөрүн өчүрүүгө аракет кылат:
C:Windowssystem32VSSADMIN.EXE Delete Shadows /All /Quiet
C:Windowssystem32wbadmin.exe delete systemstatebackup -keepVersions:0 -quiet
C:Windowssystem32wbadmin.exe delete backup -keepVersions:0 -quiet
Андан кийин, программа файлдарды шифрлей баштайт. Ар бир шифрленген файлдын аталышы камтылат [email protected]__ башында, калганынын баары ошол эле бойдон калат.
Мындан тышкары, ransomware C дискинин атын CoronaVirus деп өзгөртөт.
Бул вирус жуктуруп алган ар бир каталогдо төлөм көрсөтмөлөрүн камтыган CoronaVirus.txt файлы пайда болот. Кун болгону 0,008 биткойндор же болжол менен 60 долларды түзөт. Бул өтө жөнөкөй көрсөткүч экенин айтышым керек. Бул жерде кеп же автор өтө бай болууну максат кылган эмес... же, тескерисинче, бул үйдө өзүнчө изоляцияда отурган ар бир колдонуучу төлөй турган эң сонун сумма деп чечкен. Макул, эгер сиз сыртка чыга албасаңыз, анда компьютериңизди кайра иштетүү үчүн 60 доллар анчалык деле көп эмес.
Кошумчалай кетсек, жаңы Ransomware кичинекей DOS аткарылуучу файлын убактылуу файлдар папкасына жазат жана аны BootExecute ачкычынын астындагы реестрге каттайт, андыктан төлөм көрсөтмөлөрү компьютер кийинки жолу кайра жүктөлгөндө көрсөтүлөт. Системанын жөндөөлөрүнө жараша бул билдирүү көрүнбөй калышы мүмкүн. Бирок, бардык файлдарды шифрлөө аяктагандан кийин, компьютер автоматтык түрдө өчүрүлөт.
KPOT маалымат уурдоочу
Бул Ransomware ошондой эле KPOT шпиондук программасы менен келет. Бул маалымат уурдоочу ар кандай браузерлерден, ошондой эле компьютерде орнотулган оюндардан (анын ичинде Steam), Jabber жана Skype тез мессенджерлеринден кукилерди жана сакталган сырсөздөрдү уурдай алат. Анын кызыгуу чөйрөсү ошондой эле FTP жана VPN үчүн кирүү маалыматын камтыйт. Өз ишин аткарып, колунан келгендин баарын уурдап алгандан кийин, шпион төмөнкү буйрук менен өзүн жок кылат:
cmd.exe /c ping 127.0.0.1 && del C:tempkpot.exe
Бул жөн эле Ransomware эмес
Бул чабуул дагы бир жолу коронавирустук пандемия темасына байланып, заманбап ransomware файлдарыңызды шифрлөө менен чектелбестен, дагы бир жолу далилдейт. Бул учурда, жабырлануучу ар кандай сайттарга жана порталдарга сырсөздөрдү уурдап алуу коркунучу бар. Maze жана DoppelPaymer сыяктуу жогорку уюшкан киберкриминалдык топтор, эгерде алар файлдарды калыбына келтирүү үчүн акча төлөгүсү келбесе, колдонуучуларды шантаж кылуу үчүн уурдалган жеке маалыматтарды колдонууга чебер болуп калышты. Чынында эле, күтүлбөгөн жерден алар анчалык деле маанилүү эмес, же колдонуучу Ransomware чабуулдарына кабылбаган резервдик системага ээ.
Жөнөкөйлүгүнө карабастан, жаңы CoronaVirus киберкылмышкерлер да кирешелерин көбөйтүүгө умтулуп, акча табуу үчүн кошумча каражаттарды издеп жатышканын ачык көрсөтүп турат. Стратегиянын өзү жаңы эмес — бир нече жылдан бери Acronis аналитиктери жабырлануучунун компьютерине финансылык трояндарды жайгаштырган ransomware чабуулдарын байкап келишет. Мындан тышкары, заманбап шарттарда, ransomware чабуулу жалпысынан кол салуучулардын көңүлүн негизги максатынан - маалыматтардын агып кетүүсүнөн буруу үчүн саботаж катары кызмат кылышы мүмкүн.
Тигил же бул сыяктуу коркунучтардан коргонууга кибер коргонууга комплекстүү мамилени колдонуу менен гана жетишүүгө болот. Ал эми заманбап коопсуздук тутумдары мындай коркунучтарды (жана алардын эки компоненттерин тең) алар машина үйрөнүү технологияларын колдонуу менен эвристикалык алгоритмдерди колдоно баштаганга чейин оңой эле бөгөттөп коюшат. Эгерде резервдик көчүрүү/кырсыктан калыбына келтирүү системасы менен интеграцияланган болсо, биринчи бузулган файлдар дароо калыбына келтирилет.
Кызыккандар үчүн IoC файлдарынын хэш суммалары:
CoronaVirus Ransomware: 3299f07bc0711b3587fe8a1c6bf3ee6bcbc14cb775f64b28a61d72ebcb8968d3
Kpot infostealer: a08db3b44c713a96fe07e0bfc440ca9cf2e3d152a5d13a70d6102c15004c4240
Сурамжылоого катталган колдонуучулар гана катыша алышат. , өтүнөмүн.
Сиз бир убакта шифрлөө менен маалыматтарды уурдоону башынан өткөрдүңүз беле?
-
19,0%Ооба4
-
42,9%No9
-
28,6%Биз дагы сергек болушубуз керек6
-
9,5%Мен бул жөнүндө ойлогон да эмесмин 2
21 колдонуучу добуш берди. 5 колдонуучу добуш берүүдөн баш тартты.
Source: www.habr.com