ဒစ်ဂျစ်တယ် Coronavirus - Ransomware နှင့် Infostaler ပေါင်းစပ်မှု

ကိုရိုနာဗိုင်းရပ် အပြင်အဆင်များကို အသုံးပြု၍ ခြိမ်းခြောက်မှုအမျိုးမျိုးသည် အွန်လိုင်းတွင် ဆက်လက်ပေါ်နေပါသည်။ ယနေ့တွင် ကျွန်ုပ်တို့သည် တိုက်ခိုက်သူများ၏ အမြတ်အစွန်းကို အများဆုံးရယူလိုသည့်ဆန္ဒကို ထင်ရှားစွာပြသသည့် စိတ်ဝင်စားစရာကောင်းသည့် ဥပမာတစ်ခုအကြောင်း အချက်အလက်များကို မျှဝေလိုပါသည်။ “2-in-1” အမျိုးအစားမှ ခြိမ်းခြောက်မှုသည် သူ့ကိုယ်သူ CoronaVirus ဟုခေါ်သည်။ Malware နှင့်ပတ်သက်သောအသေးစိတ်အချက်အလက်များသည် ဖြတ်တောက်ခြင်းအောက်တွင် ရှိနေပါသည်။

ကိုရိုနာဗိုင်းရပ်အခင်းအကျင်းကို လွန်ခဲ့သည့်တစ်လကျော်က စတင်အသုံးပြုခဲ့သည်။ တိုက်ခိုက်သူများသည် ကပ်ရောဂါပြန့်ပွားမှုနှင့် အရေးယူဆောင်ရွက်မှုများဆိုင်ရာ သတင်းအချက်အလက်များကို အများပြည်သူ၏ စိတ်ဝင်စားမှုကို အခွင့်ကောင်းယူခဲ့သည်။ မတူညီသော သတင်းပေးသူများ၊ အထူးအပလီကေးရှင်းများနှင့် ဆိုဒ်အတုအများအပြားသည် သုံးစွဲသူများအား အပေးအယူလုပ်ရန်၊ ဒေတာခိုးယူခြင်းနှင့် တစ်ခါတစ်ရံတွင် စက်၏အကြောင်းအရာများကို စာဝှက်ထားပြီး ရွေးနုတ်ဖိုးတောင်းဆိုသည့် အင်တာနက်ပေါ်တွင် ပေါ်လာသည်။ ၎င်းသည် Coronavirus Tracker မိုဘိုင်းအက်ပ်မှ လုပ်ဆောင်သည့် အတိအကျဖြစ်ပြီး၊ စက်ပစ္စည်းသို့ဝင်ရောက်ခွင့်ကို ပိတ်ဆို့ကာ ရွေးနုတ်ဖိုးတောင်းဆိုခြင်းဖြစ်သည်။

Malware ပျံ့နှံ့မှုအတွက် သီးခြားပြဿနာမှာ ငွေကြေးပံ့ပိုးမှုဆိုင်ရာ အစီအမံများနှင့် ရှုပ်ထွေးမှုများဖြစ်သည်။ နိုင်ငံအများအပြားတွင်၊ အစိုးရသည် ကပ်ရောဂါကာလအတွင်း သာမန်ပြည်သူများနှင့် စီးပွားရေးကိုယ်စားလှယ်များအား အကူအညီနှင့် ပံ့ပိုးပေးမည်ဟု ကတိပြုထားသည်။ ရိုးရှင်းပြီး ပွင့်လင်းမြင်သာမှုရှိသော ဤအကူအညီကို မည်သည့်နေရာတွင်မှ လက်ခံရရှိခြင်းမရှိပေ။ ထို့အပြင်၊ များစွာသောသူတို့သည် ငွေရေးကြေးရေးအရ ကူညီပေးမည်ဟု မျှော်လင့်သော်လည်း ၎င်းတို့ကို အစိုးရထောက်ပံ့ကြေးလက်ခံမည့်သူများစာရင်းတွင် ထည့်သွင်းခြင်း ရှိ၊မရှိ မသိပါ။ နိုင်ငံတော်ထံမှ တစ်စုံတစ်ရာ လက်ခံရရှိပြီးသူများသည် အပိုအကူအညီများကို ငြင်းဆိုဖွယ်မရှိပေ။

ဤသည်မှာ တိုက်ခိုက်သူများ၏ အခွင့်ကောင်းကို ရယူထားခြင်းဖြစ်သည်။ ၎င်းတို့သည် ဘဏ်များကိုယ်စား၊ ငွေရေးကြေးရေး ထိန်းကျောင်းသူများနှင့် လူမှုဖူလုံရေး အာဏာပိုင်များထံ အကူအညီပေးကာ စာများပေးပို့ကြသည်။ လင့်ခ်ကို လိုက်နာဖို့ပဲ လိုပါတယ်...

သံသယဖြစ်ဖွယ်လိပ်စာတစ်ခုကို နှိပ်ပြီးနောက်၊ လူတစ်ဦးသည် ၎င်း၏ဘဏ္ဍာရေးအချက်အလက်များကို ထည့်သွင်းရန် တောင်းဆိုသည့် ဖြားယောင်းသည့်ဆိုက်တစ်ခုတွင် အဆုံးသတ်သွားသည်ကို မှန်းဆရမခက်ပါ။ မကြာခဏဆိုသလို၊ ဝဘ်ဆိုက်တစ်ခုဖွင့်လိုက်သည်နှင့်တစ်ပြိုင်နက် တိုက်ခိုက်သူများသည် ကိုယ်ရေးကိုယ်တာအချက်အလက်များနှင့် အထူးသဖြင့် ဘဏ္ဍာရေးအချက်အလက်များကို ခိုးယူရန် ရည်ရွယ်သည့် Trojan ပရိုဂရမ်တစ်ခုဖြင့် ကွန်ပျူတာကို ကူးစက်ရန် ကြိုးစားကြသည်။ တစ်ခါတစ်ရံတွင် အီးမေးလ် ပူးတွဲပါဖိုင်တွင် spyware သို့မဟုတ် ransomware အသွင်ဖြင့် "အစိုးရအကူအညီကို သင်မည်သို့ရနိုင်ပုံအကြောင်း အရေးကြီးအချက်အလက်များ" ပါရှိသော စကားဝှက်ဖြင့် ကာကွယ်ထားသော ဖိုင်တစ်ခု ပါဝင်ပါသည်။

ထို့အပြင် မကြာသေးမီက Infostealer အမျိုးအစားမှ ပရိုဂရမ်များသည် လူမှုကွန်ရက်များတွင် ပျံ့နှံ့လာခဲ့သည်။ ဥပမာအားဖြင့်၊ သင်သည် တရားဝင် Windows utility အချို့ကို ဒေါင်းလုဒ်လုပ်လိုပါက၊ wisecleaner[.]best၊ Infostaler သည် ၎င်းနှင့်အတူ ထုပ်ပိုးလာနိုင်သည်။ လင့်ခ်ကို နှိပ်ခြင်းဖြင့်၊ အသုံးပြုသူသည် utility နှင့်အတူ malware ဒေါင်းလုဒ်လုပ်သည့် ဒေါင်းလုဒ်တစ်ခုကို လက်ခံရရှိပြီး ဒေါင်းလုဒ်အရင်းအမြစ်သည် သားကောင်၏ကွန်ပျူတာ၏ဖွဲ့စည်းပုံအပေါ်မူတည်၍ ရွေးချယ်ထားသည်။

ကိုရိုနာဗိုင်းရပ်စ် ၁၉

ဒီခရီးစဉ်တစ်ခုလုံးကို ဘာကြောင့် ဖြတ်သန်းခဲ့ရတာလဲ။ အမှန်မှာ နာမည်အကြောင်း သိပ်မစဉ်းစားဘဲ ဖန်တီးသူ အသစ်ဖြစ်သော malware အသစ်သည် အကောင်းဆုံးများကို စုပ်ယူလိုက်ပြီး တိုက်ခိုက်မှု အမျိုးအစား နှစ်မျိုးဖြင့် တစ်ကြိမ်တည်းတွင် သားကောင်အား နှစ်သက်စေပါသည်။ တစ်ဖက်တွင်၊ ကုဒ်ဝှက်ခြင်းပရိုဂရမ် (CoronaVirus) ကို တင်ထားပြီး နောက်တစ်ဖက်တွင် KPOT infostealer။

CoronaVirus ransomware

Ransomware ကိုယ်တိုင်က 44KB အတိုင်းအတာရှိတဲ့ ဖိုင်လေးတစ်ခုပါ။ ခြိမ်းခြောက်မှုသည် ရိုးရှင်းသော်လည်း ထိရောက်မှုရှိသည်။ executable file သည် ကျပန်းအမည်တစ်ခုအောက်တွင် သူ့ဘာသာသူ မိတ္တူကူးပါသည်။ %AppData%LocalTempvprdh.exeနှင့် registry တွင် သော့ကိုလည်း သတ်မှတ်ပေးသည်။ WindowsCurrentVersionRun. မိတ္တူတင်ပြီးသည်နှင့် မူရင်းကို ဖျက်လိုက်ပါသည်။

ransomware အများစုကဲ့သို့ပင်၊ CoronaVirus သည် အောက်ဖော်ပြပါ system commands များကို လုပ်ဆောင်ခြင်းဖြင့် local backups များကို ဖျက်ပြီး file shadowing ကို ပိတ်ရန် ကြိုးပမ်းသည်-
C:Windowssystem32VSSADMIN.EXE Delete Shadows /All /Quiet
C:Windowssystem32wbadmin.exe delete systemstatebackup -keepVersions:0 -quiet
C:Windowssystem32wbadmin.exe delete backup -keepVersions:0 -quiet

ထို့နောက် ဆော့ဖ်ဝဲသည် ဖိုင်များကို စာဝှက်ရန် စတင်သည်။ ကုဒ်ဝှက်ထားသော ဖိုင်တစ်ခုစီ၏ အမည်တွင် ပါဝင်မည်ဖြစ်သည်။ [email protected]__ အစတွင်၊ အခြားအရာအားလုံးသည်အတူတူပင်။
ထို့အပြင်၊ ransomware သည် C drive ၏အမည်ကို CoronaVirus သို့ပြောင်းသည်။

ဤဗိုင်းရပ်စ်ကူးစက်ရန် စီမံထားသော လမ်းညွှန်တစ်ခုစီတွင် ငွေပေးချေမှုလမ်းညွှန်များပါရှိသော CoronaVirus.txt ဖိုင်တစ်ခု ပေါ်လာပါသည်။ ရွေးနုတ်ဖိုးသည် 0,008 bitcoins သို့မဟုတ် ခန့်မှန်းခြေအားဖြင့် $60 သာဖြစ်သည်။ ပြောရမယ်ဆိုရင်တော့ ဒါဟာ အင်မတန်မှကို နှိမ့်ချတဲ့ ပုံစံမျိုးပါ။ ဒီနေရာမှာ ပြောချင်တာက စာရေးသူဟာ အရမ်းချမ်းသာဖို့ ပန်းတိုင်ကို မသတ်မှတ်ထားဘဲ ဒါမှမဟုတ် ဆန့်ကျင်ဘက်အနေနဲ့၊ ဒီပမာဏဟာ အိမ်မှာနေရင်း အထီးကျန်နေထိုင်နေတဲ့ သုံးစွဲသူတိုင်း ပေးဆောင်နိုင်တဲ့ ကောင်းမွန်တဲ့ ပမာဏဖြစ်တယ်လို့ ဆုံးဖြတ်ခဲ့ပါတယ်။ သင်အပြင်မထွက်နိုင်ရင် သင့်ကွန်ပြူတာပြန်အလုပ်လုပ်ဖို့ ဒေါ်လာ 60 လောက်မများပါဘူး။

ထို့အပြင်၊ Ransomware အသစ်သည် ယာယီဖိုင်များဖိုဒါတွင် DOS executable ဖိုင်ငယ်တစ်ခုကိုရေးပြီး ကွန်ပြူတာပြန်လည်စတင်သောအခါတွင် ငွေပေးချေမှုလမ်းညွှန်ချက်များကို BootExecute သော့အောက်ရှိ registry တွင် စာရင်းသွင်းသည်။ စနစ်ဆက်တင်များပေါ်မူတည်၍ ဤမက်ဆေ့ချ်သည် ပေါ်လာမည်မဟုတ်ပါ။ သို့သော်၊ ဖိုင်အားလုံး၏ ကုဒ်ဝှက်ခြင်း ပြီးမြောက်ပြီးနောက်၊ ကွန်ပျူတာသည် အလိုအလျောက် ပြန်လည်စတင်မည်ဖြစ်သည်။

KPOT သတင်းခိုးယူသူ

ဤ Ransomware သည် KPOT spyware လည်းပါရှိသည်။ ဤအချက်အလက်ခိုးယူသူသည် ဘရောက်ဆာအမျိုးမျိုးမှ ကွတ်ကီးများနှင့် သိမ်းဆည်းထားသော စကားဝှက်များကို ခိုးယူနိုင်သည့်အပြင် PC ပေါ်တွင် ထည့်သွင်းထားသည့် ဂိမ်းများ ( Steam )၊ Jabber နှင့် Skype အပါအဝင် instant messenger များထံမှလည်း ခိုးယူနိုင်ပါသည်။ သူစိတ်ဝင်စားသည့် ဧရိယာတွင် FTP နှင့် VPN အတွက် ဝင်ရောက်အသုံးပြုမှုအသေးစိတ်များလည်း ပါဝင်သည်။ ၎င်း၏အလုပ်ကို လုပ်ဆောင်ပြီး တတ်နိုင်သမျှ ခိုးယူပြီးနောက်၊ သူလျှိုသည် အောက်ပါ command ဖြင့် သူ့ကိုယ်သူ ဖျက်ပစ်သည်-

cmd.exe /c ping 127.0.0.1 && del C:tempkpot.exe

၎င်းသည် Ransomware တစ်ခုတည်းမဟုတ်တော့ပါ။

ယခုတိုက်ခိုက်မှုသည် ကိုရိုနာဗိုင်းရပ်ကူးစက်ရောဂါ၏ ဆောင်ပုဒ်နှင့် တစ်ဖန်ဆက်စပ်မှုဖြစ်ပြီး ခေတ်မီ ransomware သည် သင့်ဖိုင်များကို စာဝှက်ခြင်းထက် ပိုမိုလုပ်ဆောင်ရန် ကြိုးစားနေကြောင်း ထပ်မံသက်သေပြပါသည်။ ဤကိစ္စတွင်၊ သားကောင်သည် အမျိုးမျိုးသောဆိုက်များနှင့် ပေါ်တယ်များသို့ စကားဝှက်များခိုးယူခံရမည့်အန္တရာယ်ကို လုပ်ဆောင်သည်။ Maze နှင့် DoppelPaymer ကဲ့သို့သော အလွန်ဖွဲ့စည်းထားသော ဆိုက်ဘာရာဇ၀တ်ဂိုဏ်းများသည် ခိုးယူထားသော ကိုယ်ရေးကိုယ်တာဒေတာများကို အသုံးပြုသူများအား ဖိုင်ပြန်လည်ရယူရန်အတွက် အခကြေးငွေမပေးလိုပါက blackmail အသုံးပြုသူများကို အသုံးပြုရာတွင် ကျွမ်းကျင်လာပါသည်။ အမှန်မှာ၊ ၎င်းတို့သည် ရုတ်တရက် အရေးမကြီးပါ သို့မဟုတ် အသုံးပြုသူတွင် Ransomware တိုက်ခိုက်မှုများကို မခံရနိုင်သော အရန်စနစ်တစ်ခုရှိသည်။

ရိုးရှင်းသော်လည်း၊ CoronaVirus အသစ်သည် ဆိုက်ဘာရာဇ၀တ်ကောင်များသည် ၎င်းတို့၏ ၀င်ငွေကိုတိုးမြင့်ရန်ရှာဖွေနေပြီး နောက်ထပ်ငွေရှာခြင်းနည်းလမ်းများကို ရှာဖွေနေကြောင်း ရှင်းရှင်းလင်းလင်းပြသထားသည်။ နည်းဗျူဟာကိုယ်တိုင်က အသစ်အဆန်းမဟုတ်ပါ - ယခု နှစ်အတော်ကြာကြာ၊ Acronis မှ ခွဲခြမ်းစိတ်ဖြာသူများသည် သားကောင်၏ကွန်ပျူတာပေါ်တွင် ငွေကြေးဆိုင်ရာ Trojan များကိုလည်း ထည့်သွင်းပေးသည့် ransomware တိုက်ခိုက်မှုများကို စောင့်ကြည့်နေခဲ့သည်။ ထို့အပြင်၊ ခေတ်သစ်အခြေအနေများတွင်၊ ransomware တိုက်ခိုက်မှုသည် တိုက်ခိုက်သူများ၏ အဓိကပန်းတိုင်ဖြစ်သော ဒေတာယိုစိမ့်မှုမှ အာရုံလွှဲနိုင်ရန် ယေဘုယျအားဖြင့် ဖျက်ဆီးမှုတစ်ခုအဖြစ် လုပ်ဆောင်နိုင်သည်။

တစ်နည်းမဟုတ်တစ်နည်း၊ ထိုသို့သော ခြိမ်းခြောက်မှုများကို ကာကွယ်ခြင်းသည် ဆိုက်ဘာကာကွယ်ရေးအတွက် ပေါင်းစပ်ချဉ်းကပ်မှုဖြင့်သာ ရရှိနိုင်ပါသည်။ ထို့အပြင် ခေတ်မီလုံခြုံရေးစနစ်များသည် စက်သင်ယူမှုနည်းပညာများကို အသုံးပြု၍ heuristic algorithms ကို စတင်အသုံးမပြုမီတွင်ပင် ထိုကဲ့သို့သော ခြိမ်းခြောက်မှုများ (၎င်းတို့၏ အစိတ်အပိုင်းနှစ်ခုစလုံး) ကို အလွယ်တကူ ပိတ်ဆို့ထားသည်။ အရန်သိမ်းဆည်းခြင်း/ဘေးအန္တရာယ် ပြန်လည်ရယူရေးစနစ်ဖြင့် ပေါင်းစပ်ထားပါက၊ ပထမပျက်စီးသွားသောဖိုင်များကို ချက်ချင်းပြန်လည်ရရှိပါမည်။

စိတ်ဝင်စားသူများအတွက် IoC ဖိုင်များ၏ hash sums များ-

CoronaVirus Ransomware: 3299f07bc0711b3587fe8a1c6bf3ee6bcbc14cb775f64b28a61d72ebcb8968d3
Kpot infostealer: a08db3b44c713a96fe07e0bfc440ca9cf2e3d152a5d13a70d6102c15004c4240

စာရင်းသွင်းအသုံးပြုသူများသာ စစ်တမ်းတွင် ပါဝင်နိုင်ပါသည်။ ဆိုင်းအင်လုပ်ခြင်း, ကျေးဇူးပြု။

တစ်ပြိုင်နက်တည်း ကုဒ်ဝှက်ခြင်းနှင့် ဒေတာခိုးယူခြင်းတို့ကို သင်ကြုံတွေ့ဖူးပါသလား။

• 19,0%ဟုတ်တယ်4

• 42,9%နံပါတ် ၂၄၄

• 28,6%ပိုသတိရှိရပါမည် ၆

• 9,5%တွေးတောင်မတွေးခဲ့မိဘူး ၂

အသုံးပြုသူ ၈၁ ဦး မဲပေးခဲ့သည်။ အသုံးပြုသူ ၈ ဦး ရှောင်နေခဲ့ပါတယ်။

source: www.habr.com