Kërcënime të ndryshme që përdorin tema të koronavirusit vazhdojnë të shfaqen në internet. Dhe sot ne duam të ndajmë informacione për një shembull interesant që tregon qartë dëshirën e sulmuesve për të maksimizuar fitimet e tyre. Kërcënimi nga kategoria "2-në-1" e quan veten CoronaVirus. Dhe informacioni i detajuar në lidhje me malware është nën prerje.
Shfrytëzimi i temës së koronavirusit filloi më shumë se një muaj më parë. Sulmuesit shfrytëzuan interesin e publikut për informacion në lidhje me përhapjen e pandemisë dhe masat e marra. Një numër i madh informatorësh të ndryshëm, aplikacione speciale dhe faqe të rreme janë shfaqur në internet që komprometojnë përdoruesit, vjedhin të dhëna dhe ndonjëherë kodojnë përmbajtjen e pajisjes dhe kërkojnë një shpërblim. Kjo është pikërisht ajo që bën aplikacioni celular Coronavirus Tracker, duke bllokuar aksesin në pajisje dhe duke kërkuar një shpërblim.
Një çështje më vete për përhapjen e malware ishte konfuzioni me masat e mbështetjes financiare. Në shumë vende, qeveria ka premtuar ndihmë dhe mbështetje për qytetarët e zakonshëm dhe përfaqësuesit e biznesit gjatë pandemisë. Dhe pothuajse askund marrja e kësaj ndihme nuk është e thjeshtë dhe transparente. Madje, shumë shpresojnë se do të ndihmohen financiarisht, por nuk e dinë nëse janë të përfshirë në listën e atyre që do të marrin subvencione nga qeveria apo jo. Dhe ata që kanë marrë tashmë diçka nga shteti nuk ka gjasa të refuzojnë ndihmë shtesë.
Kjo është pikërisht ajo nga e cila përfitojnë sulmuesit. Ata dërgojnë letra në emër të bankave, rregullatorëve financiarë dhe autoriteteve të sigurimeve shoqërore, duke ofruar ndihmë. Mjafton të ndiqni lidhjen...
Nuk është e vështirë të merret me mend se pasi klikon në një adresë të dyshimtë, një person përfundon në një faqe phishing ku i kërkohet të fusë informacionin e tij financiar. Më shpesh, njëkohësisht me hapjen e një faqe interneti, sulmuesit përpiqen të infektojnë një kompjuter me një program trojan që synon vjedhjen e të dhënave personale dhe, në veçanti, informacionit financiar. Ndonjëherë një bashkëngjitje e-mail përfshin një skedar të mbrojtur me fjalëkalim që përmban "informacion të rëndësishëm se si mund të merrni mbështetjen e qeverisë" në formën e spyware ose ransomware.
Përveç kësaj, së fundmi në rrjetet sociale kanë filluar të përhapen edhe programe nga kategoria Infostealer. Për shembull, nëse doni të shkarkoni disa programe legjitime të Windows, le të themi wisecleaner[.]më së miri, Infostealer mund të vijë së bashku me të. Duke klikuar në lidhjen, përdoruesi merr një shkarkues që shkarkon malware së bashku me programin, dhe burimi i shkarkimit zgjidhet në varësi të konfigurimit të kompjuterit të viktimës.
Koronavirus 2022
Pse kaluam gjithë këtë ekskursion? Fakti është se malware i ri, krijuesit e të cilit nuk menduan shumë për emrin, sapo ka thithur të gjitha më të mirat dhe e kënaq viktimën me dy lloje sulmesh menjëherë. Nga njëra anë, programi i enkriptimit (CoronaVirus) është i ngarkuar, dhe nga ana tjetër, KPOT infostealer.
ransomware për CoronaVirus
Vetë ransomware është një skedar i vogël me madhësi 44 KB. Kërcënimi është i thjeshtë por efektiv. Skedari i ekzekutueshëm kopjon veten nën një emër të rastësishëm në %AppData%LocalTempvprdh.exe, dhe gjithashtu vendos çelësin në regjistër WindowsCurrentVersionRun. Pasi të vendoset kopja, origjinali fshihet.
Ashtu si shumica e ransomware-ve, CoronaVirus përpiqet të fshijë kopjet rezervë lokale dhe të çaktivizojë hijezimin e skedarëve duke ekzekutuar komandat e mëposhtme të sistemit:
C:Windowssystem32VSSADMIN.EXE Delete Shadows /All /Quiet
C:Windowssystem32wbadmin.exe delete systemstatebackup -keepVersions:0 -quiet
C:Windowssystem32wbadmin.exe delete backup -keepVersions:0 -quiet
Më pas, softueri fillon të enkriptojë skedarët. Emri i çdo skedari të koduar do të përmbajë [email protected]__ në fillim, dhe gjithçka tjetër mbetet e njëjtë.
Përveç kësaj, ransomware ndryshon emrin e diskut C në CoronaVirus.
Në çdo direktori që ky virus arriti të infektojë, shfaqet një skedar CoronaVirus.txt, i cili përmban udhëzime pagese. Shpërblesa është vetëm 0,008 bitcoin ose afërsisht 60 dollarë. Duhet të them, kjo është një shifër shumë modeste. Dhe këtu çështja është ose se autori nuk i vuri vetes synimin për t'u pasuruar shumë... ose, përkundrazi, ai vendosi që kjo ishte një shumë e shkëlqyer që mund ta paguante çdo përdorues i ulur në shtëpi në izolim. Pajtohem, nëse nuk mund të dilni jashtë, atëherë 60 dollarë për ta vënë në punë kompjuterin tuaj përsëri nuk janë aq shumë.
Përveç kësaj, Ransomware i ri shkruan një skedar të vogël të ekzekutueshëm DOS në dosjen e skedarëve të përkohshëm dhe e regjistron atë në regjistër nën butonin BootExecute në mënyrë që udhëzimet e pagesës të shfaqen herën tjetër që kompjuteri të rindizet. Në varësi të cilësimeve të sistemit, ky mesazh mund të mos shfaqet. Megjithatë, pasi të ketë përfunduar enkriptimi i të gjithë skedarëve, kompjuteri do të riniset automatikisht.
info vjedhës i KPOT
Ky Ransomware vjen gjithashtu me Spyware KPOT. Ky info vjedhës mund të vjedhë kuki dhe fjalëkalime të ruajtura nga një sërë shfletuesish, si dhe nga lojëra të instaluara në një kompjuter (përfshirë Steam), Jabber dhe mesazherët e çastit Skype. Zona e tij e interesit përfshin gjithashtu detaje të aksesit për FTP dhe VPN. Pasi ka kryer punën e tij dhe ka vjedhur gjithçka që mundet, spiuni fshin veten me komandën e mëposhtme:
cmd.exe /c ping 127.0.0.1 && del C:tempkpot.exe
Nuk është më vetëm Ransomware
Ky sulm, i lidhur edhe një herë me temën e pandemisë së koronavirusit, dëshmon edhe një herë se ransomware modern kërkon të bëjë më shumë sesa thjesht të kodojë skedarët tuaj. Në këtë rast, viktima rrezikon të vjedhë fjalëkalime në faqe dhe portale të ndryshme. Grupet shumë të organizuara kriminale kibernetike si Maze dhe DoppelPaymer janë bërë të aftë në përdorimin e të dhënave personale të vjedhura për të shantazhuar përdoruesit nëse ata nuk duan të paguajnë për rikuperimin e skedarëve. Në të vërtetë, papritmas ato nuk janë aq të rëndësishme, ose përdoruesi ka një sistem rezervë që nuk është i ndjeshëm ndaj sulmeve të Ransomware.
Pavarësisht thjeshtësisë së tij, CoronaVirus i ri tregon qartë se kriminelët kibernetikë po kërkojnë gjithashtu të rrisin të ardhurat e tyre dhe po kërkojnë mjete shtesë për fitimin e parave. Vetë strategjia nuk është e re – për disa vite tashmë, analistët e Acronis kanë vëzhguar sulme ransomware që vendosin gjithashtu Trojans financiarë në kompjuterin e viktimës. Për më tepër, në kushtet moderne, një sulm ransomware në përgjithësi mund të shërbejë si një sabotim për të larguar vëmendjen nga qëllimi kryesor i sulmuesve - rrjedhja e të dhënave.
Në një mënyrë apo tjetër, mbrojtja kundër kërcënimeve të tilla mund të arrihet vetëm duke përdorur një qasje të integruar për mbrojtjen kibernetike. Dhe sistemet moderne të sigurisë bllokojnë lehtësisht kërcënime të tilla (dhe të dy komponentët e tyre) edhe para se të fillojnë të përdorin algoritme heuristike duke përdorur teknologjitë e mësimit të makinerive. Nëse integrohet me një sistem rezervë/rikuperimi nga fatkeqësitë, skedarët e parë të dëmtuar do të restaurohen menjëherë.
Për të interesuarit, hash shumat e skedarëve IoC:
CoronaVirus Ransomware: 3299f07bc0711b3587fe8a1c6bf3ee6bcbc14cb775f64b28a61d72ebcb8968d3
Kpot infostealer: a08db3b44c713a96fe07e0bfc440ca9cf2e3d152a5d13a70d6102c15004c4240
Vetëm përdoruesit e regjistruar mund të marrin pjesë në anketë. , te lutem
A keni përjetuar ndonjëherë kriptim të njëkohshëm dhe vjedhje të të dhënave?
-
19,0%Po 4
-
42,9%Nr 9
-
28,6%Do të duhet të jemi më vigjilentë6
-
9,5%As që e kam menduar 2
21 përdorues votuan. 5 përdorues abstenuan.
Burimi: www.habr.com