Коронавирусын сэдвүүдийг ашигласан янз бүрийн аюул занал онлайнаар гарч ирсээр байна. Өнөөдөр бид халдагчдын ашиг орлогоо нэмэгдүүлэхийг хүсч буйг тодорхой харуулсан нэг сонирхолтой тохиолдлын тухай мэдээллийг хуваалцахыг хүсч байна. "2-ын 1" ангиллын аюул нь өөрийгөө КоронаВирус гэж нэрлэдэг. Мөн хорлонтой програмын талаарх дэлгэрэнгүй мэдээлэл нь захын доор байна.
Коронавирусын сэдвийг ашиглах ажил сар гаруйн өмнө эхэлсэн. Халдлага үйлдэгчид тахлын тархалт, авсан арга хэмжээний талаарх мэдээллийг олон нийт сонирхож байгааг далимдуулан ашигласан. Интернэт дээр асар олон тооны янз бүрийн мэдээлэгч, тусгай программууд, хуурамч сайтууд гарч ирж, хэрэглэгчдийг эвдэж, мэдээлэл хулгайлж, заримдаа төхөөрөмжийн агуулгыг шифрлэж, золиослохыг шаарддаг. Coronavirus Tracker гар утасны аппликейшн яг ийм зүйл хийж, төхөөрөмжид нэвтрэх эрхийг хааж, золиослохыг шаарддаг.
Хортой програмын тархалтын тусдаа асуудал бол санхүүгийн дэмжлэгийн арга хэмжээг төөрөгдүүлсэн явдал байв. Олон оронд засгийн газар тахлын үед жирийн иргэд, бизнесийн төлөөлөгчдөд тусламж, дэмжлэг үзүүлэхээ амласан. Мөн энэ тусламжийг энгийн бөгөөд ил тод хүлээн авах газар бараг байхгүй. Түүгээр ч барахгүй олон хүн санхүүгийн дэмжлэг үзүүлнэ гэж найдаж байгаа ч төрөөс татаас авах хүмүүсийн жагсаалтад орсон эсэхийг мэдэхгүй байна. Төрөөс ямар нэгэн зүйл авсан хүмүүс нэмэлт тусламжаас татгалзах магадлал багатай юм.
Энэ нь халдагчид яг ийм давуу талыг ашигладаг. Тэд банк, санхүүгийн зохицуулагчид, нийгмийн хамгааллын байгууллагуудын нэрийн өмнөөс захидал илгээж, тусламж санал болгодог. Та линкээр ороход л хангалттай...
Эргэлзээтэй хаяг дээр дарсны дараа хүн фишинг сайт руу орж, санхүүгийн мэдээллээ оруулахыг хүсэх болно гэдгийг таахад хэцүү биш юм. Ихэнхдээ вэбсайт нээхтэй зэрэгцэн халдагчид хувийн мэдээлэл, ялангуяа санхүүгийн мэдээллийг хулгайлах зорилготой Трояны програмаар компьютерт халдварлахыг оролддог. Заримдаа цахим шуудангийн хавсралт нь тагнуулын програм эсвэл ransomware хэлбэрээр "төрийн дэмжлэгийг хэрхэн авах талаар чухал мэдээлэл" агуулсан нууц үгээр хамгаалагдсан файлыг агуулдаг.
Нэмж дурдахад сүүлийн үед Infostealer ангиллын хөтөлбөрүүд олон нийтийн сүлжээнд тархаж эхэлсэн. Жишээлбэл, хэрэв та Windows-ийн хууль ёсны хэрэглүүрийг татаж авахыг хүсвэл wisecleaner[.]хамгийн сайн гэж хэлээрэй, Infostealer үүнийг дагалдаж ирдэг. Холбоос дээр дарснаар хэрэглэгч програм хангамжийн хамт хортой програмыг татаж авдаг татаж авагчийг хүлээн авах бөгөөд хохирогчийн компьютерийн тохиргооноос хамааран татаж авах эх үүсвэрийг сонгоно.
Коронавирус 2022 он
Бид яагаад энэ бүхэл бүтэн аялалыг туулсан бэ? Бүтээгчид нэрний талаар удаан бодсонгүй шинэ хортой програм нь хамгийн сайн сайхныг шингээж, хохирогчийг нэг дор хоёр төрлийн дайралтаар баярлуулж байгаа явдал юм. Нэг талд нь шифрлэлтийн програм (CoronaVirus) ачаалагдсан, нөгөө талд нь KPOT мэдээлэл хулгайлагч.
CoronaVirus ransomware
Ransomware нь өөрөө 44KB хэмжээтэй жижиг файл юм. Аюул занал нь энгийн боловч үр дүнтэй байдаг. Гүйцэтгэгдэх файл нь санамсаргүй нэрээр өөрийгөө хуулдаг %AppData%LocalTempvprdh.exe, мөн бүртгэлд түлхүүрийг тохируулдаг WindowsCurrentVersionRun. Хуулбарыг байрлуулсны дараа эх хувийг устгана.
Ихэнх ransomware-ийн нэгэн адил CoronaVirus нь дараах системийн тушаалуудыг ажиллуулж дотоод нөөцлөлтийг устгах, файлын сүүдэрлэхийг идэвхгүй болгохыг оролддог.
C:Windowssystem32VSSADMIN.EXE Delete Shadows /All /Quiet
C:Windowssystem32wbadmin.exe delete systemstatebackup -keepVersions:0 -quiet
C:Windowssystem32wbadmin.exe delete backup -keepVersions:0 -quiet
Дараа нь програм хангамж файлуудыг шифрлэж эхэлнэ. Шифрлэгдсэн файл бүрийн нэрийг агуулна [email protected]__ эхэндээ, бусад бүх зүйл ижил хэвээр байна.
Нэмж дурдахад ransomware нь C дискний нэрийг CoronaVirus болгон өөрчилдөг.
Энэ вирусын халдвар авсан лавлах бүрт төлбөрийн заавар агуулсан CoronaVirus.txt файл гарч ирнэ. Золиос нь ердөө 0,008 биткойн буюу ойролцоогоор 60 доллар юм. Энэ бол маш даруухан үзүүлэлт гэдгийг би хэлэх ёстой. Энд гол зүйл бол зохиолч өөртөө маш их баяжих зорилго тавиагүй ... эсвэл эсрэгээрээ энэ нь гэртээ тусгаарлагдсан хэрэглэгч бүрийн төлөх боломжтой маш сайн мөнгө гэж шийдсэн. Зөвшөөрч байна, хэрэв та гадаа гарч чадахгүй бол компьютерээ дахин ажиллуулахад 60 доллар тийм ч их биш юм.
Нэмж дурдахад, шинэ Ransomware нь түр зуурын файлуудын хавтсанд жижиг DOS гүйцэтгэгдэх файлыг бичиж, BootExecute түлхүүрийн дор бүртгэлд бүртгүүлснээр дараагийн удаа компьютер дахин ачаалагдах үед төлбөрийн заавар харагдах болно. Системийн тохиргооноос хамааран энэ зурвас харагдахгүй байж магадгүй. Гэхдээ бүх файлыг шифрлэж дууссаны дараа компьютер автоматаар дахин асах болно.
KPOT мэдээлэл хулгайлагч
Энэхүү Ransomware нь KPOT тагнуулын програмтай хамт ирдэг. Энэхүү мэдээлэл хулгайлагч нь янз бүрийн хөтчөөс, түүнчлэн компьютерт суулгасан тоглоомуудаас (Steam гэх мэт), Jabber, Skype шуурхай мессенжерүүдээс күүки болон хадгалсан нууц үгийг хулгайлах боломжтой. Түүний сонирхлын талбарт FTP болон VPN-д нэвтрэх дэлгэрэнгүй мэдээлэл багтдаг. Ажлаа хийж, чадах бүхнээ хулгайлсан тагнуул дараах тушаалаар өөрийгөө устгана.
cmd.exe /c ping 127.0.0.1 && del C:tempkpot.exe
Энэ нь зөвхөн Ransomware биш болсон
Энэхүү халдлага нь коронавирусын тахлын сэдэвтэй дахин холбогдож, орчин үеийн ransomware нь таны файлуудыг шифрлэхээс илүү зүйлийг хийхийг эрэлхийлдэг болохыг дахин нотолж байна. Энэ тохиолдолд хохирогч янз бүрийн сайт, портал руу нэвтрэх нууц үгийг хулгайлах эрсдэлтэй байдаг. Maze, DoppelPaymer зэрэг өндөр зохион байгуулалттай кибер гэмт хэргийн бүлгүүд хулгайлагдсан хувийн мэдээллээ ашиглан файл сэргээх төлбөр төлөхийг хүсэхгүй байгаа тохиолдолд хэрэглэгчдийг шантаажлах чадвартай болсон. Үнэн хэрэгтээ, гэнэт тэд тийм ч чухал биш эсвэл хэрэглэгч Ransomware халдлагад өртөмтгий биш нөөц системтэй болсон.
Энгийн байдалтай хэдий ч шинэ КоронаВирус нь кибер гэмт хэрэгтнүүд мөн орлогоо нэмэгдүүлэхийг эрмэлзэж, мөнгө олох нэмэлт хэрэгсэл хайж байгааг тодорхой харуулж байна. Энэ стратеги нь өөрөө шинэ зүйл биш - хэдэн жилийн турш Acronis-ийн шинжээчид хохирогчийн компьютер дээр санхүүгийн троян суулгадаг ransomware халдлагыг ажиглаж байна. Түүнээс гадна орчин үеийн нөхцөлд ransomware халдлага нь халдагчдын гол зорилго болох өгөгдөл алдагдахаас анхаарлыг сарниулах зорилгоор хорлон сүйтгэх ажиллагаа болдог.
Ямар нэг байдлаар ийм аюул заналхийллээс хамгаалах нь зөвхөн кибер хамгаалалтын нэгдсэн арга барилыг ашиглах замаар л хүрч болно. Орчин үеийн аюулгүй байдлын системүүд машин сургалтын технологийг ашиглан эвристик алгоритмуудыг ашиглаж эхлэхээс өмнө ийм аюулыг (мөн тэдгээрийн бүрэлдэхүүн хэсгүүдийг хоёуланг нь) хялбархан хаадаг. Хэрэв нөөцлөлт/гамшгийн үед сэргээх системтэй нэгдсэн бол эхний гэмтсэн файлууд нэн даруй сэргээгдэх болно.
Сонирхсон хүмүүсийн хувьд IoC файлуудын хэш нийлбэр:
CoronaVirus Ransomware: 3299f07bc0711b3587fe8a1c6bf3ee6bcbc14cb775f64b28a61d72ebcb8968d3
Kpot infostealer: a08db3b44c713a96fe07e0bfc440ca9cf2e3d152a5d13a70d6102c15004c4240
Зөвхөн бүртгэлтэй хэрэглэгчид санал асуулгад оролцох боломжтой. , гуйя.
Та нэгэн зэрэг шифрлэлт болон өгөгдөл хулгайлж байсан уу?
-
19,0%Тийм 4
-
42,9%Үгүй 9
-
28,6%Бид илүү сонор сэрэмжтэй байх ёстой 6
-
9,5%Би энэ талаар огт бодоогүй 2
21 хэрэглэгч санал өгсөн. 5 хэрэглэгч түдгэлзсэн.
Эх сурвалж: www.habr.com