🥇डिजिटल कोरोनाभाइरस - Ransomware र Infostealer को संयोजन

कोरोनाभाइरस थिमहरू प्रयोग गरेर विभिन्न खतराहरू अनलाइन देखा पर्न जारी छ। र आज हामी एक चाखलाग्दो उदाहरणको बारेमा जानकारी साझा गर्न चाहन्छौं जसले स्पष्ट रूपमा आक्रमणकारीहरूको आफ्नो नाफा बढाउने इच्छा देखाउँछ। "2-in-1" श्रेणीको खतराले आफैलाई कोरोनाभाइरस भन्छ। र मालवेयर बारे विस्तृत जानकारी कट अन्तर्गत छ।

कोरोनाभाइरस थिमको शोषण एक महिना भन्दा बढी पहिले सुरु भयो। आक्रमणकारीहरूले महामारीको फैलावट र गरिएका उपायहरूको बारेमा जानकारीमा जनताको चासोको फाइदा उठाए। इन्टरनेटमा ठूलो संख्यामा विभिन्न इन्फर्मरहरू, विशेष एपहरू र नक्कली साइटहरू देखा परेका छन् जसले प्रयोगकर्ताहरूलाई धोका दिन्छन्, डाटा चोर्छन् र कहिलेकाहीँ यन्त्रका सामग्रीहरू इन्क्रिप्ट गर्छन् र फिरौती माग्छन्। यो वास्तवमा कोरोनाभाइरस ट्र्याकर मोबाइल एपले गर्छ, उपकरणमा पहुँच रोक्न र फिरौतीको माग गर्दै।

मालवेयरको फैलावटको लागि एक अलग मुद्दा वित्तीय समर्थन उपायहरूसँग भ्रम थियो। धेरै देशहरूमा, सरकारले महामारीको समयमा आम नागरिक र व्यापार प्रतिनिधिहरूलाई सहयोग र समर्थन गर्ने वाचा गरेको छ। र लगभग कतै पनि यो सहायता सरल र पारदर्शी प्राप्त छैन। साथै, धेरैलाई आर्थिक सहयोग हुने आशा छ तर सरकारी अनुदान पाउनेको सूचीमा परेका छन् कि छैनन् थाहा छैन । र जसले राज्यबाट पहिले नै केहि प्राप्त गरिसकेका छन् उनीहरूले थप सहयोग अस्वीकार गर्ने सम्भावना छैन।

आक्रमणकारीहरूले यसको फाइदा उठाउँछन्। उनीहरूले बैंक, वित्तीय नियामक र सामाजिक सुरक्षा निकायका तर्फबाट सहयोगको प्रस्ताव पठाउँछन्। तपाईंले केवल लिङ्क पछ्याउनुहोस् ...

यो अनुमान गर्न गाह्रो छैन कि शंकास्पद ठेगानामा क्लिक गरेपछि, एक व्यक्ति फिसिङ साइटमा समाप्त हुन्छ जहाँ उसलाई आफ्नो वित्तीय जानकारी प्रविष्ट गर्न भनिन्छ। प्रायजसो, वेबसाइट खोल्ने एकै साथ, आक्रमणकारीहरूले व्यक्तिगत डेटा र विशेष गरी वित्तीय जानकारी चोरी गर्ने उद्देश्यले ट्रोजन प्रोग्रामको साथ कम्प्युटरलाई संक्रमित गर्ने प्रयास गर्छन्। कहिलेकाहीँ एउटा इमेल एट्याचमेन्टमा पासवर्ड-सुरक्षित फाइल समावेश हुन्छ जसमा स्पायवेयर वा ransomware को रूपमा "तपाईंले कसरी सरकारी समर्थन प्राप्त गर्न सक्नुहुन्छ भन्ने बारे महत्त्वपूर्ण जानकारी" समावेश गर्दछ।

थप रूपमा, भर्खरै इन्फोस्टेलर वर्गका कार्यक्रमहरू पनि सामाजिक सञ्जालहरूमा फैलिन थालेका छन्। उदाहरण को लागी, यदि तपाइँ केहि वैध विन्डोज उपयोगिता डाउनलोड गर्न चाहनुहुन्छ भने, भनौं wisecleaner[.]सर्वश्रेष्ठ, Infostealer यसको साथ बन्डल हुन सक्छ। लिङ्कमा क्लिक गरेर, प्रयोगकर्ताले डाउनलोडर प्राप्त गर्दछ जसले उपयोगितासँगै मालवेयर डाउनलोड गर्दछ, र डाउनलोड स्रोत पीडितको कम्प्युटरको कन्फिगरेसनको आधारमा चयन गरिन्छ।

कोरोनाभाइरस २०१

हामीले यो सम्पूर्ण भ्रमण किन गयौं? तथ्य यो हो कि नयाँ मालवेयर, जसका सिर्जनाकर्ताहरूले नामको बारेमा धेरै लामो सोचेनन्, भर्खरै सबै राम्रोलाई अवशोषित गरेको छ र पीडितलाई एकैचोटि दुई प्रकारका आक्रमणहरूको साथ खुशी पारेको छ। एकातिर, इन्क्रिप्शन प्रोग्राम (कोरोनाभाइरस) लोड गरिएको छ, र अर्कोतिर, KPOT इन्फोस्टेलर।

कोरोनाभाइरस ransomware

ransomware आफैमा 44KB नाप्ने सानो फाइल हो। धम्की सरल तर प्रभावकारी छ। कार्यान्वयनयोग्य फाइल आफैलाई अनियमित नाम अन्तर्गत प्रतिलिपि गर्दछ %AppData%LocalTempvprdh.exe, र रजिस्ट्रीमा कुञ्जी पनि सेट गर्दछ WindowsCurrentVersionRun। एक पटक प्रतिलिपि राखेपछि, मूल मेटाइन्छ।

धेरैजसो ransomware जस्तै, CoronaVirus ले निम्न प्रणाली आदेशहरू चलाएर स्थानीय ब्याकअपहरू मेटाउने र फाइल छायाँ असक्षम पार्ने प्रयास गर्दछ:
C:Windowssystem32VSSADMIN.EXE Delete Shadows /All /Quiet C:Windowssystem32wbadmin.exe delete systemstatebackup -keepVersions:0 -quiet C:Windowssystem32wbadmin.exe delete backup -keepVersions:0 -quiet

अर्को, सफ्टवेयरले फाइलहरू इन्क्रिप्ट गर्न थाल्छ। प्रत्येक इन्क्रिप्टेड फाइलको नाम समावेश हुनेछ [email protected]__ सुरुमा, र अरू सबै उस्तै रहन्छ।
थप रूपमा, ransomware ले C ड्राइभको नाम परिवर्तन गर्दछ Coronavirus।

प्रत्येक डाइरेक्टरीमा जुन यस भाइरसले संक्रमित गर्न व्यवस्थित गरेको छ, एउटा Coronavirus.txt फाइल देखा पर्दछ, जसमा भुक्तानी निर्देशनहरू छन्। फिरौती मात्र 0,008 बिटकोइन वा लगभग $ 60 हो। मैले भन्नै पर्छ, यो एकदम नम्र व्यक्तित्व हो। र यहाँ बिन्दु यो हो कि लेखकले आफैलाई धेरै धनी बन्ने लक्ष्य सेट गरेनन् ... वा, यसको विपरित, उनले निर्णय गरे कि यो एक उत्कृष्ट रकम हो जुन सेल्फ-एक्लोसनमा घरमा बस्ने प्रत्येक प्रयोगकर्ताले तिर्न सक्छ। सहमत हुनुहोस्, यदि तपाइँ बाहिर जान सक्नुहुन्न भने, तपाइँको कम्प्युटरलाई फेरि काम गर्न $60 त्यति धेरै छैन।

थप रूपमा, नयाँ Ransomware ले अस्थायी फाइल फोल्डरमा एउटा सानो DOS कार्यान्वयनयोग्य फाइल लेख्छ र यसलाई BootExecute कुञ्जी अन्तर्गत रजिस्ट्रीमा दर्ता गर्दछ ताकि अर्को पटक कम्प्युटर रिबुट गर्दा भुक्तानी निर्देशनहरू देखाइनेछ। प्रणाली सेटिङहरूमा निर्भर गर्दै, यो सन्देश देखा पर्दैन। यद्यपि, सबै फाइलहरूको इन्क्रिप्सन पूरा भएपछि, कम्प्युटर स्वतः पुन: सुरु हुनेछ।

KPOT infostealer

यो Ransomware पनि KPOT स्पाइवेयर संग आउँछ। यो इन्फोस्टेलरले विभिन्न ब्राउजरहरूबाट कुकीहरू र सुरक्षित गरिएका पासवर्डहरू चोर्न सक्छ, साथै पीसी (स्टीम सहित), जब्बर र स्काइप इन्स्ट्यान्ट मेसेन्जरहरूमा स्थापित खेलहरूबाट। उनको रुचिको क्षेत्रमा FTP र VPN को लागि पहुँच विवरणहरू पनि समावेश छन्। आफ्नो काम गरिसकेपछि र यो गर्न सक्ने सबै कुरा चोरेर, जासूसले निम्न आदेशको साथ आफैलाई मेटाउँछ:

cmd.exe /c ping 127.0.0.1 && del C:tempkpot.exe

यो अब Ransomware मात्र होइन

यो आक्रमण, एक पटक फेरि कोरोनाभाइरस महामारीको विषयवस्तुसँग जोडिएको, एक पटक फेरि प्रमाणित गर्दछ कि आधुनिक ransomware ले तपाइँका फाइलहरू इन्क्रिप्ट गर्नु भन्दा बढी गर्न खोज्छ। यस अवस्थामा, पीडितले विभिन्न साइटहरू र पोर्टलहरूमा पासवर्डहरू चोरी हुने जोखिममा चल्छ। Maze र DoppelPaymer जस्ता उच्च संगठित साइबर आपराधिक समूहहरू प्रयोगकर्ताहरूलाई ब्ल्याकमेल गर्नका लागि चोरीको व्यक्तिगत डाटा प्रयोग गर्नमा निपुण भएका छन् यदि तिनीहरू फाइल रिकभरीको लागि तिर्न चाहँदैनन्। वास्तवमा, अचानक तिनीहरू यति महत्त्वपूर्ण छैनन्, वा प्रयोगकर्तासँग ब्याकअप प्रणाली छ जुन Ransomware आक्रमणहरूको लागि अतिसंवेदनशील छैन।

यसको सरलताको बावजुद, नयाँ कोरोनाभाइरसले स्पष्ट रूपमा देखाउँछ कि साइबर अपराधीहरूले पनि आफ्नो आय बढाउन खोजिरहेका छन् र मुद्रीकरणको थप माध्यमहरू खोजिरहेका छन्। रणनीति आफैमा नयाँ छैन - धेरै वर्षदेखि, एक्रोनिस विश्लेषकहरूले ransomware आक्रमणहरू अवलोकन गर्दै आएका छन् जसले पीडितको कम्प्युटरमा वित्तीय ट्रोजनहरू पनि रोप्दछ। यसबाहेक, आधुनिक परिस्थितिहरूमा, ransomware आक्रमणले आक्रमणकारीहरूको मुख्य लक्ष्य - डाटा चुहावटबाट ध्यान हटाउनको लागि सामान्यतया तोडफोडको रूपमा काम गर्न सक्छ।

एक तरिका वा अर्को, त्यस्ता खतराहरू विरुद्ध सुरक्षा साइबर रक्षाको लागि एकीकृत दृष्टिकोण प्रयोग गरेर मात्र प्राप्त गर्न सकिन्छ। र आधुनिक सुरक्षा प्रणालीहरूले मेसिन लर्निङ टेक्नोलोजीहरू प्रयोग गरेर हेरिस्टिक एल्गोरिदमहरू प्रयोग गर्न सुरु गर्नु अघि नै त्यस्ता खतराहरू (र तिनीहरूका दुवै कम्पोनेन्टहरू) लाई सजिलैसँग रोक्छन्। यदि ब्याकअप/डिजास्टर रिकभरी प्रणालीसँग एकीकृत गरियो भने, पहिलो क्षतिग्रस्त फाइलहरू तुरुन्तै पुनर्स्थापित हुनेछन्।

रुचि राख्नेहरूका लागि, IoC फाइलहरूको ह्यास योगहरू:

CoronaVirus Ransomware: 3299f07bc0711b3587fe8a1c6bf3ee6bcbc14cb775f64b28a61d72ebcb8968d3
Kpot infostealer: a08db3b44c713a96fe07e0bfc440ca9cf2e3d152a5d13a70d6102c15004c4240

दर्ता भएका प्रयोगकर्ताहरूले मात्र सर्वेक्षणमा भाग लिन सक्छन्। साइन इन गर्नुहोस्कृपया

के तपाईंले कहिल्यै एकसाथ इन्क्रिप्सन र डाटा चोरीको अनुभव गर्नुभएको छ?

19,0%हो 4
42,9%नम्बर ८०
28,6%हामी थप सजग हुनुपर्छ 6
9,5%मैले सोचेको पनि छैन 2

21 प्रयोगकर्ताहरूले मतदान गरे। 5 प्रयोगकर्ताहरू रोकिए।

स्रोत: www.habr.com

डिजिटल कोरोनाभाइरस - Ransomware र Infostealer को संयोजन

कोरोनाभाइरस २०१

कोरोनाभाइरस ransomware

KPOT infostealer

यो अब Ransomware मात्र होइन

के तपाईंले कहिल्यै एकसाथ इन्क्रिप्सन र डाटा चोरीको अनुभव गर्नुभएको छ?

एक टिप्पणी थप्न Отменить ответ