Verschidde Gefore mat Coronavirus Themen erschéngen weider online. An haut wëlle mir Informatiounen iwwer eng interessant Instanz deelen, déi kloer de Wonsch vun den Ugräifer weist fir hire Gewënn ze maximéieren. D'Drohung aus der Kategorie "2-an-1" nennt sech CoronaVirus. An detailléiert Informatioun iwwer d'Malware ass ënner dem Schnëtt.
D'Exploitatioun vum Coronavirus Thema huet viru méi wéi engem Mount ugefaang. D'Ugräifer hunn d'Interesse vun der Ëffentlechkeet an Informatioun iwwer d'Verbreedung vun der Pandemie an d'Moossname profitéiert. Eng grouss Zuel vu verschiddenen Informateuren, speziell Uwendungen a gefälschte Site sinn um Internet opgetaucht, déi Benotzer kompromittéieren, Daten klauen, an heiansdo den Inhalt vum Apparat verschlësselen an eng Léisegeld verlaangen. Dëst ass genau wat d'Coronavirus Tracker mobil App mécht, den Zougang zum Apparat blockéiert an e Léisegeld verlaangt.
E separate Problem fir d'Verbreedung vu Malware war d'Verwirrung mat finanziellen Ënnerstëtzungsmoossnamen. A ville Länner huet d'Regierung Hëllef an Ënnerstëtzung fir gewéinlech Bierger a Geschäftsvertrieder während der Pandemie versprach. A bal néierens kritt dës Hëllef einfach an transparent. Ausserdeem hoffe vill, datt se finanziell gehollef ginn, wëssen awer net, ob se an der Lëscht vun deenen, déi staatlech Subventiounen kréien, opgeholl ginn oder net. An déi, déi schonn eppes vum Staat kritt hunn, refuséieren onwahrscheinlech zousätzlech Hëllef.
Dëst ass genau wat Ugräifer profitéieren. Si schécken Bréiwer am Numm vu Banken, Finanzreegler a Sozialversécherungsautoritéiten, déi Hëllef ubidden. Dir musst just de Link verfollegen ...
Et ass net schwéier ze roden datt nodeems Dir op eng zweifelhaft Adress geklickt hutt, eng Persoun op enger Phishing-Site endet, wou hie gefrot gëtt seng finanziell Informatioun anzeginn. Déi meescht dacks, gläichzäiteg mat der Ouverture vun enger Websäit, probéieren Ugräifer e Computer mat engem Trojanesche Programm ze infizéieren, fir perséinlech Donnéeën a besonnesch finanziell Informatioun ze klauen. Heiansdo enthält eng E-Mail-Uschlëss eng Passwuert-geschützt Datei déi "wichteg Informatioun iwwer wéi Dir staatlech Ënnerstëtzung kritt" a Form vu Spyware oder Ransomware enthält.
Zousätzlech, kierzlech Programmer aus der Kategorie Infostealer hunn och ugefaang op sozialen Netzwierker ze verbreeden. Zum Beispill, wann Dir e legitime Windows Utility eroflueden wëllt, sot wisecleaner [.]bescht, Infostealer ka gutt mat derbäi kommen. Andeems Dir op de Link klickt, kritt de Benotzer en Downloader deen Malware zesumme mam Utility erofluet, an d'Downloadquell gëtt ausgewielt ofhängeg vun der Konfiguratioun vum Computer vum Affer.
Coronavirus 2022
Firwat si mir duerch dësen ganzen Ausfluch gaang? D'Tatsaach ass datt déi nei Malware, d'Creatoren vun deenen net ze laang iwwer den Numm geduecht hunn, just alles dat Bescht absorbéiert huet an d'Affer mat zwou Aarte vun Attacken gläichzäiteg begeeschtert. Op där enger Säit gëtt de Verschlësselungsprogramm (CoronaVirus) gelueden, an op der anerer KPOT Infostealer.
CoronaVirus Ransomware
D'Ransomware selwer ass eng kleng Datei déi 44KB moosst. D'Drohung ass einfach awer effektiv. Déi ausführbar Datei kopéiert sech selwer ënner engem zoufällege Numm op %AppData%LocalTempvprdh.exe, a setzt och de Schlëssel am Registry WindowsCurrentVersionRun. Wann d'Kopie plazéiert ass, gëtt d'Original geläscht.
Wéi déi meescht Ransomware, probéiert CoronaVirus lokal Backups ze läschen an Dateishadowing auszeschalten andeems Dir déi folgend Systembefehle leeft:
C:Windowssystem32VSSADMIN.EXE Delete Shadows /All /Quiet
C:Windowssystem32wbadmin.exe delete systemstatebackup -keepVersions:0 -quiet
C:Windowssystem32wbadmin.exe delete backup -keepVersions:0 -quiet
Als nächst fänkt d'Software un Dateien ze verschlësselen. Den Numm vun all verschlësselte Fichier wäert enthalen [email protected]__ am Ufank, an alles anescht bleift déi selwecht.
Zousätzlech ännert d'Ransomware den Numm vum C Drive op CoronaVirus.
An all Verzeechnes, deen dëse Virus infizéiert huet, erschéngt eng CoronaVirus.txt Datei, déi Bezuelinstruktiounen enthält. De Léisegeld ass nëmmen 0,008 Bitcoins oder ongeféier $ 60. Ech muss soen, dëst ass eng ganz bescheiden Figur. An hei ass et entweder, datt den Auteur sech net als Zil gesat huet, ganz räich ze ginn... oder am Géigendeel, hien huet decidéiert, datt dat en exzellente Montant wier, deen all Benotzer, deen doheem a Selbstisolatioun sëtzt, ka bezuelen. Averstanen, wann Dir net dobausse kënnt, dann $ 60 fir Äre Computer erëm ze schaffen ass net sou vill.
Zousätzlech schreift déi nei Ransomware eng kleng DOS ausführbar Datei am temporäre Dateien Ordner a registréiert se an der Registry ënner dem BootExecute Schlëssel, sou datt d'Bezuelinstruktiounen déi nächst Kéier wann de Computer nei gestart gëtt. Ofhängeg vun de Systemastellungen, kann dëse Message net schéngen. Wéi och ëmmer, nodeems d'Verschlësselung vun all Dateie fäerdeg ass, gëtt de Computer automatesch nei starten.
KPOT Infostealer
Dës Ransomware kënnt och mat KPOT Spyware. Dësen Infostealer kann Cookien a gespäichert Passwierder aus verschiddene Browser klauen, souwéi vu Spiller, déi op engem PC installéiert sinn (inklusiv Steam), Jabber a Skype Instant Messenger. Säi Interessegebitt enthält och Zougangsdetailer fir FTP a VPN. Nodeems hien seng Aarbecht gemaach huet an alles geklaut huet, läscht de Spioun sech mam folgendem Kommando:
cmd.exe /c ping 127.0.0.1 && del C:tempkpot.exe
Et ass net nëmmen Ransomware méi
Dësen Attack, nach eng Kéier mam Thema vun der Coronavirus Pandemie gebonnen, beweist nach eng Kéier datt modern Ransomware probéiert méi ze maachen wéi just Är Dateien ze verschlësselen. An dësem Fall riskéiert d'Affer Passwierder op verschidde Siten a Portale geklaut ze kréien. Héich organiséiert Cyberkriminell Gruppen wéi Maze an DoppelPaymer sinn adept ginn fir geklauten perséinlech Donnéeën ze benotzen fir Benotzer z'erpressen wa se net fir Dateierhuelung bezuelen wëllen. Tatsächlech sinn se op eemol net sou wichteg, oder de Benotzer huet e Backupsystem deen net ufälleg ass fir Ransomware Attacken.
Trotz senger Einfachheet beweist den neie CoronaVirus kloer datt Cyberkrimineller och sichen hiert Akommes ze erhéijen an no zousätzlech Mëttele fir Monetiséierung sichen. D'Strategie selwer ass net nei - zënter e puer Joer hunn Acronis Analysten Ransomware Attacke beobachtet, déi och finanziell Trojaner op dem Computer vum Affer planzen. Ausserdeem, a modernen Bedéngungen, kann e Ransomware Attack allgemeng als Sabotage déngen fir d'Opmierksamkeet vum Haaptziel vun den Ugräifer ofzeleeden - Dateleckage.
Op eng oder aner Manéier kann de Schutz géint esou Gefore nëmme mat enger integréierter Approche zur Cyber Verteidegung erreecht ginn. A modern Sécherheetssystemer blockéiere sou Bedrohungen (a béid vun hire Komponenten) einfach ier se ufänken heuristesch Algorithmen mat Maschinnléiertechnologien ze benotzen. Wann integréiert mat engem Backup / Katastroph Erhuelung System, déi éischt beschiedegt Fichieren ginn direkt restauréiert.
Fir déi interesséiert, hash Zomme vun IoC Dateien:
CoronaVirus Ransomware: 3299f07bc0711b3587fe8a1c6bf3ee6bcbc14cb775f64b28a61d72ebcb8968d3
Kpot infostealer: a08db3b44c713a96fe07e0bfc440ca9cf2e3d152a5d13a70d6102c15004c4240
Nëmme registréiert Benotzer kënnen un der Ëmfro deelhuelen. , wann ech glift.
Hutt Dir jeemools gläichzäiteg Verschlësselung an Datepest erlieft?
-
19,0%jo4
-
42,9%Nee9
-
28,6%Mir musse méi waakreg sinn6
-
9,5%Ech hunn net emol doriwwer geduecht 2
21 Benotzer hunn gestëmmt. 5 Benotzer hu sech enthalen.
Source: will.com