Pelbagai ancaman menggunakan tema coronavirus terus muncul dalam talian. Dan hari ini kami ingin berkongsi maklumat tentang satu contoh menarik yang jelas menunjukkan keinginan penyerang untuk memaksimumkan keuntungan mereka. Ancaman dari kategori "2-dalam-1" menamakan dirinya sebagai CoronaVirus. Dan maklumat terperinci tentang perisian hasad sedang dikurangkan.
Eksploitasi tema coronavirus bermula lebih sebulan lalu. Penyerang mengambil kesempatan daripada minat orang ramai terhadap maklumat tentang penyebaran wabak dan langkah-langkah yang diambil. Sebilangan besar pemberi maklumat yang berbeza, aplikasi khas dan tapak palsu telah muncul di Internet yang menjejaskan pengguna, mencuri data, dan kadangkala menyulitkan kandungan peranti dan menuntut wang tebusan. Inilah yang dilakukan oleh apl mudah alih Coronavirus Tracker, menyekat akses kepada peranti dan menuntut wang tebusan.
Isu berasingan untuk penyebaran perisian hasad ialah kekeliruan dengan langkah sokongan kewangan. Di banyak negara, kerajaan telah menjanjikan bantuan dan sokongan kepada rakyat biasa dan wakil perniagaan semasa wabak itu. Dan hampir tiada tempat menerima bantuan ini dengan mudah dan telus. Lebih-lebih lagi, ramai yang berharap mereka akan dibantu dari segi kewangan, tetapi tidak tahu sama ada mereka termasuk dalam senarai mereka yang akan menerima subsidi kerajaan atau tidak. Dan mereka yang telah menerima sesuatu dari negeri tidak mungkin menolak bantuan tambahan.
Inilah yang dimanfaatkan oleh penyerang. Mereka menghantar surat bagi pihak bank, pengawal selia kewangan dan pihak berkuasa keselamatan sosial, menawarkan bantuan. Anda hanya perlu ikuti pautan...
Tidak sukar untuk meneka bahawa selepas mengklik pada alamat yang meragukan, seseorang berakhir di tapak pancingan data di mana dia diminta memasukkan maklumat kewangannya. Selalunya, serentak dengan membuka tapak web, penyerang cuba menjangkiti komputer dengan program Trojan yang bertujuan untuk mencuri data peribadi dan, khususnya, maklumat kewangan. Kadangkala lampiran e-mel termasuk fail yang dilindungi kata laluan yang mengandungi "maklumat penting tentang cara anda boleh mendapatkan sokongan kerajaan" dalam bentuk perisian pengintip atau perisian tebusan.
Selain itu, baru-baru ini program dari kategori Infostealer juga mula tersebar di laman sosial. Sebagai contoh, jika anda ingin memuat turun beberapa utiliti Windows yang sah, katakan wisecleaner[.]terbaik, Infostealer mungkin disertakan bersamanya. Dengan mengklik pada pautan, pengguna menerima pemuat turun yang memuat turun perisian hasad bersama-sama dengan utiliti, dan sumber muat turun dipilih bergantung pada konfigurasi komputer mangsa.
Koronavirus 2022
Mengapa kami melalui keseluruhan lawatan ini? Hakikatnya ialah perisian hasad baharu, yang penciptanya tidak memikirkan terlalu lama tentang namanya, baru sahaja menyerap semua yang terbaik dan menggembirakan mangsa dengan dua jenis serangan sekaligus. Di satu pihak, program penyulitan (CoronaVirus) dimuatkan, dan di sisi lain, infostealer KPOT.
Perisian tebusan CoronaVirus
Perisian tebusan itu sendiri ialah fail kecil berukuran 44KB. Ancamannya mudah tetapi berkesan. Fail boleh laku menyalin sendiri di bawah nama rawak ke %AppData%LocalTempvprdh.exe, dan juga menetapkan kunci dalam pendaftaran WindowsCurrentVersionRun. Sebaik sahaja salinan diletakkan, yang asal dipadamkan.
Seperti kebanyakan perisian tebusan, CoronaVirus cuba memadamkan sandaran tempatan dan melumpuhkan pembayang fail dengan menjalankan perintah sistem berikut:
C:Windowssystem32VSSADMIN.EXE Delete Shadows /All /Quiet
C:Windowssystem32wbadmin.exe delete systemstatebackup -keepVersions:0 -quiet
C:Windowssystem32wbadmin.exe delete backup -keepVersions:0 -quiet
Seterusnya, perisian mula menyulitkan fail. Nama setiap fail yang disulitkan akan mengandungi [email protected]__ pada mulanya, dan semua yang lain tetap sama.
Di samping itu, perisian tebusan menukar nama pemacu C kepada CoronaVirus.
Dalam setiap direktori yang berjaya dijangkiti virus ini, fail CoronaVirus.txt muncul, yang mengandungi arahan pembayaran. Tebusan hanya 0,008 bitcoin atau lebih kurang $60. Saya mesti katakan, ini adalah angka yang sangat sederhana. Dan di sini maksudnya sama ada pengarang tidak menetapkan matlamat untuk menjadi sangat kaya... atau, sebaliknya, dia memutuskan bahawa ini adalah jumlah yang sangat baik yang boleh dibayar oleh setiap pengguna yang duduk di rumah dalam pengasingan diri. Setuju, jika anda tidak boleh keluar, maka $60 untuk membolehkan komputer anda berfungsi semula tidaklah seberapa.
Selain itu, Ransomware baharu menulis fail boleh laku DOS kecil dalam folder fail sementara dan mendaftarkannya dalam pendaftaran di bawah kekunci BootExecute supaya arahan pembayaran akan ditunjukkan pada kali berikutnya komputer dibut semula. Bergantung pada tetapan sistem, mesej ini mungkin tidak muncul. Walau bagaimanapun, selepas penyulitan semua fail selesai, komputer akan dimulakan semula secara automatik.
Penipu maklumat KPOT
Ransomware ini juga disertakan dengan perisian pengintip KPOT. Pencurian maklumat ini boleh mencuri kuki dan kata laluan yang disimpan daripada pelbagai penyemak imbas, serta daripada permainan yang dipasang pada PC (termasuk Steam), Jabber dan pemesej segera Skype. Bidang minatnya juga termasuk butiran akses untuk FTP dan VPN. Setelah melakukan tugasnya dan mencuri semua yang boleh, pengintip memadamkan dirinya dengan arahan berikut:
cmd.exe /c ping 127.0.0.1 && del C:tempkpot.exe
Ia bukan hanya Ransomware lagi
Serangan ini, sekali lagi dikaitkan dengan tema pandemik coronavirus, sekali lagi membuktikan bahawa perisian tebusan moden berusaha untuk melakukan lebih daripada sekadar menyulitkan fail anda. Dalam kes ini, mangsa menghadapi risiko mempunyai kata laluan ke pelbagai tapak dan portal yang dicuri. Kumpulan penjenayah siber yang sangat teratur seperti Maze dan DoppelPaymer telah menjadi mahir menggunakan data peribadi yang dicuri untuk memeras ugut pengguna jika mereka tidak mahu membayar untuk pemulihan fail. Memang, tiba-tiba mereka tidak begitu penting, atau pengguna mempunyai sistem sandaran yang tidak terdedah kepada serangan Ransomware.
Di sebalik kesederhanaannya, CoronaVirus baharu jelas menunjukkan bahawa penjenayah siber juga berusaha untuk meningkatkan pendapatan mereka dan mencari cara pengewangan tambahan. Strategi itu sendiri bukanlah sesuatu yang baharuβselama beberapa tahun sekarang, penganalisis Acronis telah memerhatikan serangan perisian tebusan yang turut menanam Trojan kewangan pada komputer mangsa. Selain itu, dalam keadaan moden, serangan ransomware secara amnya boleh berfungsi sebagai sabotaj untuk mengalihkan perhatian daripada matlamat utama penyerang - kebocoran data.
Satu cara atau yang lain, perlindungan terhadap ancaman sedemikian hanya boleh dicapai menggunakan pendekatan bersepadu untuk pertahanan siber. Dan sistem keselamatan moden dengan mudah menyekat ancaman tersebut (dan kedua-dua komponennya) walaupun sebelum mereka mula menggunakan algoritma heuristik menggunakan teknologi pembelajaran mesin. Jika disepadukan dengan sistem sandaran/pemulihan bencana, fail pertama yang rosak akan segera dipulihkan.
Bagi mereka yang berminat, cincang jumlah fail IoC:
CoronaVirus Ransomware: 3299f07bc0711b3587fe8a1c6bf3ee6bcbc14cb775f64b28a61d72ebcb8968d3
Kpot infostealer: a08db3b44c713a96fe07e0bfc440ca9cf2e3d152a5d13a70d6102c15004c4240
Hanya pengguna berdaftar boleh mengambil bahagian dalam tinjauan. , Sama-sama.
Pernahkah anda mengalami penyulitan serentak dan kecurian data?
-
19,0% Ya4
-
42,9% No9
-
28,6% Kita perlu lebih berwaspada6
-
9,5% Saya tidak terfikir pun2
21 pengguna mengundi. 5 pengguna berpantang.
Sumber: www.habr.com