Olika hot som använder coronavirus-teman fortsätter att dyka upp online. Och idag vill vi dela information om en intressant instans som tydligt visar angriparnas önskan att maximera sina vinster. Hotet från kategorin "2-i-1" kallar sig CoronaVirus. Och detaljerad information om skadlig programvara är under skärning.
Utnyttjandet av coronavirus-temat började för mer än en månad sedan. Angriparna utnyttjade allmänhetens intresse för information om spridningen av pandemin och de åtgärder som vidtagits. Ett stort antal olika informatörer, speciella applikationer och falska webbplatser har dykt upp på Internet som äventyrar användare, stjäl data och ibland krypterar enhetens innehåll och kräver en lösensumma. Det här är precis vad mobilappen Coronavirus Tracker gör, blockerar åtkomst till enheten och kräver en lösensumma.
En separat fråga för spridningen av skadlig programvara var sammanblandningen med finansiella stödåtgärder. I många länder har regeringen lovat hjälp och stöd till vanliga medborgare och företrädare för näringslivet under pandemin. Och nästan ingenstans är det enkelt och transparent att få denna hjälp. Dessutom hoppas många att de ska få hjälp ekonomiskt, men vet inte om de finns med på listan över dem som kommer att få statliga bidrag eller inte. Och de som redan har fått något från staten kommer sannolikt inte att vägra ytterligare hjälp.
Det är precis vad angripare drar fördel av. De skickar brev på uppdrag av banker, finansiella tillsynsmyndigheter och socialförsäkringsmyndigheter och erbjuder hjälp. Du behöver bara följa länken...
Det är inte svårt att gissa att efter att ha klickat på en tvivelaktig adress hamnar en person på en nätfiskesida där han ombeds ange sin ekonomiska information. Oftast, samtidigt med att en webbplats öppnas, försöker angripare att infektera en dator med ett trojanskt program som syftar till att stjäla personlig information och i synnerhet finansiell information. Ibland innehåller en e-postbilaga en lösenordsskyddad fil som innehåller "viktig information om hur du kan få statligt stöd" i form av spionprogram eller ransomware.
Dessutom har nyligen program från kategorin Infostealer också börjat spridas på sociala nätverk. Till exempel, om du vill ladda ner något legitimt Windows-verktyg, säg wisecleaner[.]bäst, kan Infostealer mycket väl levereras med det. Genom att klicka på länken får användaren en nedladdare som laddar ner skadlig programvara tillsammans med verktyget, och nedladdningskällan väljs beroende på konfigurationen av offrets dator.
coronavirus 2022
Varför gick vi igenom hela denna utflykt? Faktum är att den nya skadliga programvaran, vars skapare inte tänkte så länge på namnet, bara har absorberat allt det bästa och gläder offret med två typer av attacker samtidigt. På ena sidan laddas krypteringsprogrammet (CoronaVirus) och på den andra KPOT infostealer.
CoronaVirus ransomware
Själva ransomwaren är en liten fil som mäter 44KB. Hotet är enkelt men effektivt. Den körbara filen kopierar sig själv under ett slumpmässigt namn till %AppData%LocalTempvprdh.exe, och ställer också in nyckeln i registret WindowsCurrentVersionRun. När kopian är placerad raderas originalet.
Liksom de flesta ransomware försöker CoronaVirus ta bort lokala säkerhetskopior och inaktivera filskuggning genom att köra följande systemkommandon:
C:Windowssystem32VSSADMIN.EXE Delete Shadows /All /Quiet
C:Windowssystem32wbadmin.exe delete systemstatebackup -keepVersions:0 -quiet
C:Windowssystem32wbadmin.exe delete backup -keepVersions:0 -quiet
Därefter börjar programvaran att kryptera filer. Namnet på varje krypterad fil kommer att innehålla [email protected]__ i början, och allt annat förblir detsamma.
Dessutom ändrar ransomware namnet på C-enheten till CoronaVirus.
I varje katalog som detta virus lyckades infektera visas en CoronaVirus.txt-fil som innehåller betalningsinstruktioner. Lösen är bara 0,008 bitcoins eller cirka 60 dollar. Jag måste säga att detta är en mycket blygsam siffra. Och här är poängen antingen att författaren inte satte sig som mål att bli väldigt rik... eller tvärtom bestämde han sig för att detta var ett utmärkt belopp som varje användare som sitter hemma i självisolering kunde betala. Håller med, om du inte kan gå ut är $60 för att få din dator att fungera igen inte så mycket.
Dessutom skriver den nya Ransomware en liten körbar DOS-fil i mappen med temporära filer och registrerar den i registret under BootExecute-nyckeln så att betalningsinstruktioner visas nästa gång datorn startas om. Beroende på systeminställningarna kanske det här meddelandet inte visas. Men när kryptering av alla filer är klar kommer datorn att starta om automatiskt.
KPOT infostealer
Denna Ransomware kommer också med KPOT spionprogram. Denna infostealer kan stjäla cookies och sparade lösenord från en mängd olika webbläsare, såväl som från spel installerade på en PC (inklusive Steam), Jabber och Skype instant messengers. Hans intresseområde inkluderar även åtkomstdetaljer för FTP och VPN. Efter att ha gjort sitt jobb och stulit allt den kan raderar spionen sig själv med följande kommando:
cmd.exe /c ping 127.0.0.1 && del C:tempkpot.exe
Det är inte bara Ransomware längre
Denna attack, återigen kopplad till temat för coronavirus-pandemin, bevisar återigen att modern ransomware försöker göra mer än att bara kryptera dina filer. I det här fallet riskerar offret att få lösenord till olika sajter och portaler stulna. Högorganiserade cyberkriminella grupper som Maze och DoppelPaymer har blivit skickliga på att använda stulna personuppgifter för att utpressa användare om de inte vill betala för filåterställning. Ja, plötsligt är de inte så viktiga, eller så har användaren ett backupsystem som inte är mottagligt för Ransomware-attacker.
Trots sin enkelhet visar det nya CoronaVirus tydligt att cyberbrottslingar också försöker öka sin inkomst och letar efter ytterligare sätt att tjäna pengar på. Strategin i sig är inte ny – sedan flera år tillbaka har Acronis-analytiker observerat ransomware-attacker som också planterar finansiella trojaner på offrets dator. Dessutom, i moderna förhållanden, kan en ransomware-attack i allmänhet fungera som ett sabotage för att avleda uppmärksamheten från angriparnas huvudmål - dataläckage.
På ett eller annat sätt kan skydd mot sådana hot endast uppnås med en integrerad strategi för cyberförsvar. Och moderna säkerhetssystem blockerar enkelt sådana hot (och båda deras komponenter) redan innan de börjar använda heuristiska algoritmer med maskininlärningsteknik. Om de integreras med ett system för säkerhetskopiering/katastrofåterställning kommer de första skadade filerna att återställas omedelbart.
För de intresserade, hasha summor av IoC-filer:
CoronaVirus Ransomware: 3299f07bc0711b3587fe8a1c6bf3ee6bcbc14cb775f64b28a61d72ebcb8968d3
Kpot infostealer: a08db3b44c713a96fe07e0bfc440ca9cf2e3d152a5d13a70d6102c15004c4240
Endast registrerade användare kan delta i undersökningen. , Snälla du.
Har du någonsin upplevt samtidig kryptering och datastöld?
-
19,0%Ja 4
-
42,9%Nr 9
-
28,6%Vi måste vara mer vaksamma6
-
9,5%Jag tänkte inte ens på det 2
21 användare röstade. 5 användare avstod från att rösta.
Källa: will.com