Hanjabaado kala duwan oo isticmaalaya mawduucyada coronavirus ayaa weli ka soo muuqda khadka. Maantana waxaan rabnaa inaan wadaagno macluumaadka ku saabsan hal tusaale oo xiiso leh oo si cad u muujinaya rabitaanka weeraryahannada si ay u kordhiyaan faa'iidadooda. Khatarta ka imanaysa qaybta "2-in-1" waxay isku magacaabaa CoronaVirus. Iyo macluumaad faahfaahsan oo ku saabsan malware-ka ayaa hoos u dhacaya.
Ka faa'iidaysiga mawduuca coronavirus wuxuu bilaabmay in ka badan hal bil ka hor. Weeraryahanadu waxay ka faaβiidaysteen xiisihii dadweynaha ee xogta ku saabsan faafitaanka masiibada iyo tallaabooyinka la qaaday. Tiro aad u badan oo xog-ogaysiin ah oo kala duwan, codsiyo gaar ah iyo bogag been abuur ah ayaa ka soo muuqday internetka kuwaas oo wax u dhimaya isticmaalayaasha, xadaya xogta, mararka qaarkoodna siriya waxa ku jira aaladda oo dalbanaya madax furasho. Tani waa sida saxda ah ee uu sameeyo barnaamijka mobilada ee Coronavirus Tracker, oo xannibaya gelitaanka aaladda oo dalbanaya madaxfurasho.
Arrin u gooni ah faafitaanka malware-ka ayaa ahaa jaahwareerka iyo tallaabooyinka taageerada maaliyadeed. Wadamo badan, dawladdu waxay u ballan qaaday kaalmo iyo taageero muwaadiniinta caadiga ah iyo wakiillada ganacsiga inta lagu jiro aafo. Ku dhawaadna meelna kama helin gargaarkan mid fudud oo hufan. Waxaa intaa dheer, qaar badan ayaa rajeynaya in lagu caawin doono dhaqaale, laakiin ma oga inay ku jiraan liiska kuwa heli doona kaalmada dowladda iyo in kale. Kuwa horeba wax uga helay gobolka uma badna inay diidaan caawimo dheeraad ah.
Tani waa dhab ahaan waxa weeraryahanadu ka faa'iideystaan. Waxay soo diraan waraaqo iyagoo ka wakiil ah bangiyada, maamulayaasha dhaqaalaha iyo maamulka badbaadada bulshada, iyagoo bixinaya caawimo. Kaliya waxaad u baahan tahay inaad raacdo xiriirka ...
Ma adka in la qiyaaso in ka dib markaad gujiso ciwaan shaki leh, qofku wuxuu ku dhamaanayaa goobta phishing-ka halkaas oo lagu waydiinayo inuu galo macluumaadkiisa maaliyadeed. Inta badan, isku mar marka la furo mareegaha, weerarayaashu waxay isku dayaan inay ku qaadaan kombiyuutarka barnaamijka Trojan ee loogu talagalay in lagu xado xogta shakhsi ahaaneed iyo, gaar ahaan, macluumaadka maaliyadeed. Mararka qaarkood lifaaqa iimaylka waxaa ku jira fayl sir ah lagu ilaaliyo oo ka kooban "macluumaad muhiim ah oo ku saabsan sida aad u heli karto taageerada dawladda" qaab spyware ama ransomware.
Intaa waxaa dheer, barnaamijyada dhowaan ka socda qaybta Infostealer ayaa sidoo kale bilaabay inay ku faafiyaan shabakadaha bulshada. Tusaale ahaan, haddii aad rabto inaad soo dejiso qaar ka mid ah utility Windows ee sharciga ah, dheh wisecleaner[.] ugu fiican, Infostealer waxa laga yaabaa inuu la socdo. Markaad gujiso isku xirka, isticmaaluhu wuxuu helayaa soo dejiye soo dejinaya malware oo ay la socdaan utility, isha soo dejinta ayaa la doortaa iyadoo ku xiran qaabeynta kombuyuutarka dhibbanaha.
Coronavirus 2022
Maxaan u soo marnay dalxiiskan oo dhan? Xaqiiqdu waxay tahay in malware-ka cusub, hal-abuurayaasha kuwaas oo aan aad uga fikirin magaca, ayaa hadda ku nuuxnuuxsaday wax kasta oo wanaagsan oo ku farxay dhibbanaha laba nooc oo weerar ah hal mar. Dhinac, barnaamijka sirta ah (CoronaVirus) ayaa ku raran, dhinaca kalena, KPOT infostealer.
CoronaVirus ransomware
Ransomware laftiisu waa fayl yar oo cabbirkiisu yahay 44KB. Khatarta waa sahlan tahay laakiin waxtar leh. Faylka la fulin karo ayaa laftiisa koobiyaya magac random ah si %AppData%LocalTempvprdh.exe, iyo sidoo kale dejinaya furaha diiwaanka WindowsCurrentVersionRun. Marka nuqulka la dhigo, asalka waa la tirtirayaa.
Sida inta badan madax furashada, CoronaVirus waxay isku daydaa inay tirtirto kaydka maxalliga ah oo ay baabi'iso hadhaynta faylka iyadoo la raacayo amarada nidaamka soo socda:
C:Windowssystem32VSSADMIN.EXE Delete Shadows /All /Quiet
C:Windowssystem32wbadmin.exe delete systemstatebackup -keepVersions:0 -quiet
C:Windowssystem32wbadmin.exe delete backup -keepVersions:0 -quiet
Marka xigta, software-ku wuxuu bilaabaa inuu sireeyo faylasha. Magaca fayl kasta oo sir ah ayaa ka koobnaan doona [email protected]__ bilowgii, iyo wax kasta oo kale ayaa weli isku mid ah.
Intaa waxaa dheer, madaxfurasho waxay u beddeshaa magaca C drive una beddelo CoronaVirus.
Buug kasta oo uu fayraskani ku guulaystey in uu waxyeeleeyo, waxa ka soo baxay fayl CoronaVirus.txt, kaas oo ka kooban tilmaamaha lacag bixinta. Madax furashadu waa kaliya 0,008 bitcoins ama ku dhawaad ββ$60. Waa inaan idhaahdaa, kani waa muuqaal aad u yar. Oo halkan ujeedadu waa in qoraagu uusan naftiisa dejin hadafka ah inuu aad u taajir noqdo...ama, taa lidkeeda, wuxuu go'aansaday in tani ay tahay qadar aad u fiican oo isticmaale kasta oo guriga ku fadhiya gooni-gooni uu bixin karo. Ogow, haddii aadan dibadda u bixi karin, markaas $60 si aad u hesho kombuyuutarkaaga mar kale ma ahan mid aad u badan.
Intaa waxaa dheer, Ransomware-ka cusub wuxuu ku qoraa faylka DOS yar ee la fulin karo galka ku meel gaarka ah wuxuuna ku diiwangelinayaa diiwaanka hoostiisa furaha BootExecute si awaamiirta lacag bixinta loo muujiyo marka xigta ee kumbuyuutarka dib loo bilaabo. Iyada oo ku xidhan habaynta nidaamka, fariintan waxa laga yaabaa inaanay soo muuqan Si kastaba ha ahaatee, ka dib marka sirta dhammaan faylasha la dhammeeyo, kumbiyuutarku si toos ah ayuu dib u bilaabi doonaa.
KPOT macluumaadka
Ransomware-kan waxa kale oo uu la socdaa KPOT spyware. Infostealer-kani waxa uu xadin karaa cookies-ka iyo furaha sirta ah ee la kaydiyay ee daalacashada kala duwan, iyo sidoo kale ciyaaraha lagu rakibay PC (oo ay ku jiraan Steam), Jabber iyo Skype fariimaha degdega ah. Meesha uu xiiseeyo waxa kale oo ka mid ah faahfaahinta gelitaanka FTP iyo VPN. Basaasku markuu shaqadiisa qabtay oo uu xaday wax kasta oo uu awoodo, basaasku wuxuu isku tirtiraa amarkan soo socda:
cmd.exe /c ping 127.0.0.1 && del C:tempkpot.exe
Kaliya maaha Ransomware hadda
Weerarkan, oo mar kale ku xidhan mawduuca cudurka faafa ee coronavirus, ayaa mar kale caddaynaya in ransomware-ka casriga ahi uu doonayo inuu sameeyo wax ka badan sir faylalkaaga. Xaaladdan oo kale, dhibbanuhu wuxuu halis u yahay inuu haysto furaha sirta ah ee goobo kala duwan iyo meelo laga xado. Kooxaha sida aadka ah u abaabulan ee dambiyada internetka sida Maze iyo DoppelPaymer waxa ay noqdeen kuwo ku xeel dheer adeegsiga xogta shaqsiyeed ee la xaday si ay u adeegsadaan dadka isticmaala haddi aanay doonayn in ay lacag ku bixiyaan soo kabashada faylka. Runtii, si lama filaan ah muhiim uma aha, ama isticmaaluhu wuxuu leeyahay nidaam kayd ah oo aan u nuglayn weerarada Ransomware.
In kasta oo ay fududahay, CoronaVirus-ka cusub wuxuu si cad u muujinayaa in dambiilayaasha internetka ay sidoo kale raadinayaan inay kordhiyaan dakhligooda oo ay raadinayaan habab kale oo lacag-ururin ah. Istaraatiijiyadda lafteedu maaha mid cusub-muddo dhowr sano ah hadda, falanqeeyayaasha Acronis waxay daawanayeen weerarrada ransomware kuwaas oo sidoo kale ku beera Trojans maaliyadeed kombuyuutarka dhibbanaha. Waxaa intaa dheer, xaaladaha casriga ah, weerarka ransomware wuxuu guud ahaan u adeegi karaa sidii kharribaad si looga weeciyo hadafka ugu muhiimsan ee weerarayaasha - xogta leakage.
Si kastaba ha ahaatee, ka hortagga khataraha noocaas ah waxaa lagu gaari karaa oo keliya iyadoo la adeegsanayo hab isku dhafan oo difaaca internetka ah. Nidaamyada amniga casriga ah ayaa si fudud u xannibaya hanjabaadahaas (iyo labadaba qaybahooda) xitaa ka hor intaanay bilaabin isticmaalka algorithms heuristic iyagoo isticmaalaya tignoolajiyada barashada mashiinka. Haddii lagu daro nidaamka kabsashada/kabashada musiibada, faylalka ugu horreeya ee dhaawacan ayaa isla markiiba dib loo soo celin doonaa.
Kuwa xiisaynaya, xadhkaha xashiishka ee faylasha IoC:
CoronaVirus Ransomware: 3299f07bc0711b3587fe8a1c6bf3ee6bcbc14cb775f64b28a61d72ebcb8968d3
Kpot infostealer: a08db3b44c713a96fe07e0bfc440ca9cf2e3d152a5d13a70d6102c15004c4240
Isticmaalayaasha diiwaangashan oo keliya ayaa ka qaybqaadan kara sahanka. , soo dhawoow.
Weligaa ma la kulantay qarsoodi iyo xatooyo xog isku mar ah?
-
19,0%Haa4
-
42,9%No9
-
28,6%Waa inaan aad u feejigannaa6
-
9,5%Xitaa kamaan fikirin2
21 isticmaale ayaa codeeyay. 5 isticmaale ayaa ka aamusay.
Source: www.habr.com