ڪورونا وائرس جا موضوع استعمال ڪندي مختلف خطرا آن لائن ظاهر ٿيڻ جاري آهن. ۽ اڄ اسان هڪ دلچسپ مثال جي باري ۾ معلومات حصيداري ڪرڻ چاهيون ٿا جيڪو واضح طور تي ظاهر ڪري ٿو ته حملي ڪندڙن جي خواهش کي وڌايو وڃي انهن جي فائدي کي وڌائڻ لاء. ”2-ان-1“ درجي جو خطرو پاڻ کي ڪورونا وائرس سڏيندو آهي. ۽ مالويئر بابت تفصيلي ڄاڻ هيٺ ڏنل آهي.
ڪورونوايرس موضوع جو استحصال هڪ مهيني کان وڌيڪ اڳ شروع ٿيو. حملي آورن عوام جي دلچسپيءَ جو فائدو ورتو جن ۾ وبائي مرض جي پکيڙ بابت معلومات ۽ قدم کنيا ويا. انٽرنيٽ تي مختلف مخبرن، خاص ايپليڪيشنن ۽ جعلي سائيٽن جو هڪ وڏو تعداد ظاهر ٿيو آهي جيڪي صارفين سان سمجھوتو ڪن ٿا، ڊيٽا چوري ڪن ٿا، ۽ ڪڏهن ڪڏهن ڊوائيس جي مواد کي انڪرپٽ ڪن ٿا ۽ تاوان جو مطالبو ڪن ٿا. اهو ئي آهي جيڪو ڪرونا وائرس ٽريڪر موبائل ايپ ڪري ٿو، ڊوائيس تائين رسائي کي بلاڪ ڪرڻ ۽ تاوان جو مطالبو.
مالويئر جي پکيڙ لاءِ هڪ الڳ مسئلو مالي مدد جي قدمن سان مونجهارو هو. ڪيترن ئي ملڪن ۾، حڪومت پنڊيمڪ دوران عام شهرين ۽ ڪاروباري نمائندن جي مدد ۽ مدد جو واعدو ڪيو آهي. ۽ تقريبن ڪٿي به هي امداد آسان ۽ شفاف حاصل نه ٿي رهي آهي. ان کان علاوه، ڪيترن کي اميد آهي ته انهن جي مالي مدد ڪئي ويندي، پر خبر ناهي ته اهي انهن ماڻهن جي فهرست ۾ شامل آهن جن کي سرڪاري سبسڊي ملندي يا نه. ۽ جيڪي اڳ ۾ ئي رياست کان ڪجهه حاصل ڪري چڪا آهن اضافي مدد کان انڪار ڪرڻ ممڪن ناهي.
اهو ئي آهي جيڪو حملو ڪندڙ فائدو وٺندا آهن. اهي خط موڪليندا آهن بينڪن، مالي ريگيوٽرز ۽ سوشل سيڪيورٽي اختيارين جي طرفان، مدد جي آڇ ڪئي. توهان کي صرف لنڪ جي پيروي ڪرڻ جي ضرورت آهي ...
اهو اندازو ڪرڻ ڏکيو ناهي ته هڪ مشڪوڪ ايڊريس تي ڪلڪ ڪرڻ کان پوء، هڪ شخص هڪ فشنگ سائيٽ تي ختم ٿئي ٿو جتي هن کي پنهنجي مالي معلومات داخل ڪرڻ لاء چيو ويندو آهي. گهڻو ڪري، هڪ ويب سائيٽ کولڻ سان گڏ، حملو ڪندڙ هڪ ڪمپيوٽر کي ٽرجن پروگرام سان متاثر ڪرڻ جي ڪوشش ڪندا آهن جنهن جو مقصد ذاتي ڊيٽا چوري ڪرڻ ۽ خاص طور تي، مالي معلومات. ڪڏهن ڪڏهن هڪ اي ميل اٽيچمينٽ ۾ پاسورڊ سان محفوظ ٿيل فائل شامل هوندي آهي جنهن ۾ ”اهم معلومات هوندي آهي ته توهان حڪومتي مدد ڪيئن حاصل ڪري سگهو ٿا“ اسپائي ويئر يا ransomware جي صورت ۾.
ان کان علاوه، تازو پروگرامن مان Infostealer ڪيٽيگري پڻ سوشل نيٽ ورڪن تي ڦهلائڻ شروع ڪيو آهي. مثال طور، جيڪڏھن توھان ڪجھ جائز ونڊوز يوٽيلٽي کي ڊائون لوڊ ڪرڻ چاھيو ٿا، چئو wisecleaner[.] چڱو، Infostealer ان سان گڏ ٿي سگھي ٿو. لنڪ تي ڪلڪ ڪرڻ سان، صارف هڪ ڊائون لوڊ ڪندڙ وصول ڪري ٿو جيڪو يوٽيلٽي سان گڏ مالويئر ڊائون لوڊ ڪري ٿو، ۽ ڊائون لوڊ جو ذريعو چونڊيو ويو آهي مقتول جي ڪمپيوٽر جي ترتيب جي بنياد تي.
ڪورونيويرس 2022
اسان هن سڄي سير مان ڇو ويا؟ حقيقت اها آهي ته نئين مالويئر، جنهن جي ٺاهيندڙن جو نالو بابت گهڻو ڊگهو نه سوچيو، صرف تمام بهترين جذب ڪيو آهي ۽ هڪ ئي وقت ۾ ٻن قسمن جي حملن سان قرباني کي خوش ڪري ٿو. هڪ پاسي، انڪرپشن پروگرام (ڪورونا وائرس) لوڊ ٿيل آهي، ۽ ٻئي طرف، KPOT infostealer.
ڪورونا وائرس ransomware
ransomware پاڻ هڪ ننڍڙي فائل آهي جيڪا 44KB جي ماپ آهي. خطرو سادو پر اثرائتو آهي. قابل عمل فائل پاڻ کي بي ترتيب واري نالي سان نقل ڪري ٿو %AppData%LocalTempvprdh.exe، ۽ رجسٽري ۾ چيڪ پڻ سيٽ ڪري ٿو WindowsCurrentVersionRun. هڪ دفعو ڪاپي رکيل آهي، اصل ختم ٿي ويندي آهي.
اڪثر ransomware وانگر، ڪورونوايرس مقامي بيڪ اپ کي ختم ڪرڻ جي ڪوشش ڪري ٿو ۽ هيٺ ڏنل سسٽم حڪمن کي هلائڻ سان فائل شيڊنگ کي بند ڪري ٿو:
C:Windowssystem32VSSADMIN.EXE Delete Shadows /All /Quiet
C:Windowssystem32wbadmin.exe delete systemstatebackup -keepVersions:0 -quiet
C:Windowssystem32wbadmin.exe delete backup -keepVersions:0 -quiet
اڳيون، سافٽ ويئر فائلن کي انڪرپٽ ڪرڻ شروع ٿئي ٿو. هر انڪريپٽ ٿيل فائل جو نالو شامل هوندو [email protected]__ شروعات ۾، ۽ ٻيو سڀ ڪجهه ساڳيو رهي ٿو.
ان کان علاوه، ransomware سي ڊرائيو جو نالو تبديل ڪري ٿو ڪورونوايرس.
هر ڊاريڪٽري ۾ جنهن کي هن وائرس متاثر ڪيو، هڪ CoronaVirus.txt فائل ظاهر ٿئي ٿي، جنهن ۾ ادائگي جون هدايتون شامل آهن. تاوان صرف 0,008 bitcoins يا تقريبن $60 آهي. مون کي ضرور چوڻ گهرجي، هي هڪ تمام معمولي شخصيت آهي. ۽ هتي نقطو اهو آهي ته ليکڪ پاڻ کي تمام گهڻو امير ٿيڻ جو مقصد مقرر نه ڪيو هو ... يا، ان جي برعڪس، هن فيصلو ڪيو ته اها هڪ بهترين رقم هئي جيڪا هر صارف پاڻ کي اڪيلو ڪري گهر ۾ بيٺو ادا ڪري سگهي ٿو. متفق آهيو، جيڪڏهن توهان ٻاهر نٿا وڃي سگهو، ته پوءِ توهان جي ڪمپيوٽر کي ٻيهر ڪم ڪرڻ لاءِ $60 ايترو گهڻو ناهي.
ان کان علاوه، نئون Ransomware عارضي فائلن جي فولڊر ۾ هڪ ننڍڙي DOS ايگزيڪيوٽو فائل لکي ٿو ۽ ان کي رجسٽري ۾ BootExecute Key جي تحت رجسٽر ڪري ٿو ته جيئن ايندڙ وقت ڪمپيوٽر کي ريبوٽ ڪرڻ تي ادائگي جون هدايتون ڏيکاريون وڃن. سسٽم سيٽنگن تي مدار رکندي، هي پيغام ظاهر نه ٿي سگھي. جڏهن ته، سڀني فائلن جي انڪرپشن مڪمل ٿيڻ کان پوء، ڪمپيوٽر خودڪار طريقي سان ٻيهر شروع ٿيندو.
KPOT infostealer
هي Ransomware پڻ KPOT اسپائي ويئر سان گڏ اچي ٿو. هي infostealer مختلف برائوزرن مان ڪوڪيز ۽ محفوظ ڪيل پاسورڊ چوري ڪري سگهي ٿو، انهي سان گڏ هڪ PC تي نصب ڪيل راندين مان (بشمول اسٽيم)، جابر ۽ Skype انسٽنٽ ميسينجرز. هن جي دلچسپي جي علائقي ۾ ايف ٽي پي ۽ وي پي اين جي رسائي جا تفصيل پڻ شامل آهن. پنهنجو ڪم ڪرڻ ۽ چوري ڪري هر شي کي چوري ڪري سگهي ٿو، جاسوس پاڻ کي هيٺ ڏنل حڪم سان ختم ڪري ٿو:
cmd.exe /c ping 127.0.0.1 && del C:tempkpot.exe
اهو هاڻي صرف Ransomware ناهي
هي حملو، هڪ ڀيرو ٻيهر ڪورونوايرس پانڊيمڪ جي موضوع سان ڳنڍيل آهي، هڪ ڀيرو ٻيهر ثابت ڪري ٿو ته جديد ransomware صرف توهان جي فائلن کي انڪرپٽ ڪرڻ کان وڌيڪ ڪرڻ جي ڪوشش ڪري ٿو. انهي صورت ۾، مقتول کي مختلف سائيٽن ۽ پورٽن جي چوري لاء پاسورڊ هجڻ جو خطرو آهي. انتهائي منظم سائبر ڪرمنل گروپس جهڙوڪ Maze ۽ DoppelPaymer چوري ٿيل ذاتي ڊيٽا استعمال ڪرڻ ۾ ماهر ٿي ويا آهن صارفين کي بليڪ ميل ڪرڻ لاءِ جيڪڏهن اهي فائل وصولي لاءِ ادا ڪرڻ نٿا چاهين. درحقيقت، اوچتو اهي ايترو اهم نه آهن، يا صارف وٽ هڪ بيڪ اپ سسٽم آهي جيڪو Ransomware حملن لاء حساس ناهي.
ان جي سادگي جي باوجود، نئون ڪورونوايرس واضح طور تي ظاهر ڪري ٿو ته سائبر ڏوهن پڻ پنهنجي آمدني وڌائڻ جي ڪوشش ڪري رهيا آهن ۽ پئسا ڪمائڻ جا اضافي طريقا ڳولي رهيا آهن. حڪمت عملي خود نئين ناهي - ڪيترن سالن کان هاڻي، Acronis تجزيه نگار ransomware حملن جو مشاهدو ڪري رهيا آهن جيڪي پڻ متاثرين جي ڪمپيوٽر تي مالي ٽرجن پلانٽ ڪن ٿا. ان کان علاوه، جديد حالتن ۾، هڪ ransomware حملو عام طور تي هڪ تخريبڪار جي طور تي ڪم ڪري سگهي ٿو ته جيئن حملي ڪندڙن جي بنيادي مقصد کان ڌيان هٽائڻ لاء - ڊيٽا ليڪج.
هڪ طريقو يا ٻيو، اهڙن خطرن جي خلاف تحفظ صرف حاصل ڪري سگهجي ٿو سائبر دفاع جي هڪ مربوط طريقي سان. ۽ جديد سيڪيورٽي سسٽم آساني سان اهڙن خطرن کي بلاڪ ڪري ٿو (۽ انهن جا ٻئي حصا) ان کان اڳ جو اهي مشين لرننگ ٽيڪنالاجي استعمال ڪندي هوريسٽڪ الگورتھم استعمال ڪرڻ شروع ڪن. جيڪڏهن بيڪ اپ / آفت جي بحالي واري نظام سان ضم ٿي، پهرين خراب ٿيل فائلن کي فوري طور تي بحال ڪيو ويندو.
دلچسپي وارن لاءِ، IoC فائلن جي هيش رقم:
CoronaVirus Ransomware: 3299f07bc0711b3587fe8a1c6bf3ee6bcbc14cb775f64b28a61d72ebcb8968d3
Kpot infostealer: a08db3b44c713a96fe07e0bfc440ca9cf2e3d152a5d13a70d6102c15004c4240
صرف رجسٽرڊ استعمال ڪندڙ سروي ۾ حصو وٺي سگهن ٿا. ، توهان جي مهرباني.
ڇا توهان ڪڏهن تجربو ڪيو آهي هڪ ئي وقت ۾ انڪرپشن ۽ ڊيٽا چوري؟
-
19,0٪ها 4
-
42,9٪نمبر 9
-
28,6٪اسان کي وڌيڪ محتاط رهڻو پوندو 6
-
9,5٪مون ان بابت به نه سوچيو 2
21 صارفين ووٽ ڏنو. 5 صارفين کي روڪيو ويو.
جو ذريعو: www.habr.com