Vitisho mbalimbali vinavyotumia mada za coronavirus vinaendelea kuonekana mtandaoni. Na leo tunataka kushiriki habari kuhusu tukio moja la kuvutia ambalo linaonyesha wazi hamu ya washambuliaji ili kuongeza faida zao. Tishio kutoka kwa kitengo cha "2-in-1" hujiita CoronaVirus. Na maelezo ya kina kuhusu programu hasidi yamepunguzwa.
Unyonyaji wa mada ya coronavirus ilianza zaidi ya mwezi mmoja uliopita. Washambuliaji walichukua fursa ya maslahi ya umma katika habari kuhusu kuenea kwa janga hilo na hatua zilizochukuliwa. Idadi kubwa ya watoa habari tofauti, programu maalum na tovuti bandia zimeonekana kwenye mtandao ambazo zinahatarisha watumiaji, kuiba data, na wakati mwingine kusimba yaliyomo kwenye kifaa na kudai fidia. Hivi ndivyo programu ya simu ya Coronavirus Tracker hufanya, kuzuia ufikiaji wa kifaa na kudai fidia.
Suala tofauti la uenezaji wa programu hasidi lilikuwa kuchanganyikiwa na hatua za usaidizi wa kifedha. Katika nchi nyingi, serikali imeahidi msaada na msaada kwa raia wa kawaida na wawakilishi wa biashara wakati wa janga hilo. Na karibu hakuna popote ni kupokea msaada huu rahisi na uwazi. Zaidi ya hayo, wengi wanatumaini kwamba watasaidiwa kifedha, lakini hawajui ikiwa wamejumuishwa katika orodha ya wale ambao watapata ruzuku ya serikali au la. Na wale ambao tayari wamepokea kitu kutoka kwa serikali hawana uwezekano wa kukataa msaada wa ziada.
Hivi ndivyo washambuliaji wanavyofaidika. Wanatuma barua kwa niaba ya benki, wasimamizi wa fedha na mamlaka ya hifadhi ya jamii, kutoa msaada. Unahitaji tu kufuata kiungo ...
Si vigumu nadhani kwamba baada ya kubofya anwani ya shaka, mtu huishia kwenye tovuti ya ulaghai ambapo anaulizwa kuingiza habari zake za kifedha. Mara nyingi, wakati huo huo na kufungua tovuti, washambuliaji hujaribu kuambukiza kompyuta na programu ya Trojan inayolenga kuiba data ya kibinafsi na, hasa, habari za kifedha. Wakati mwingine kiambatisho cha barua pepe hujumuisha faili iliyolindwa na nenosiri ambayo ina "maelezo muhimu kuhusu jinsi unavyoweza kupata usaidizi wa serikali" kwa njia ya spyware au ransomware.
Kwa kuongeza, hivi karibuni mipango kutoka kwa kitengo cha Infostealer pia imeanza kuenea kwenye mitandao ya kijamii. Kwa mfano, ikiwa ungependa kupakua baadhi ya matumizi halali ya Windows, sema wisecleaner[.]bora zaidi, Infostealer inaweza kuja pamoja nayo. Kwa kubofya kiungo, mtumiaji hupokea kipakuzi ambacho hupakua programu hasidi pamoja na matumizi, na chanzo cha upakuaji huchaguliwa kulingana na usanidi wa kompyuta ya mwathirika.
Coronavirus ya 2022
Kwa nini tulipitia safari hii yote? Ukweli ni kwamba programu hasidi mpya, waundaji ambao hawakufikiria kwa muda mrefu juu ya jina, imechukua tu bora zaidi na inamfurahisha mwathirika na aina mbili za mashambulizi mara moja. Kwa upande mmoja, programu ya usimbuaji (CoronaVirus) imepakiwa, na kwa upande mwingine, infostealer ya KPOT.
CoronaVirus ransomware
Ransomware yenyewe ni faili ndogo ya kupima 44KB. Tishio ni rahisi lakini ufanisi. Faili inayoweza kutekelezwa inanakili yenyewe chini ya jina nasibu kwa %AppData%LocalTempvprdh.exe, na pia huweka ufunguo katika Usajili WindowsCurrentVersionRun. Mara baada ya nakala kuwekwa, asili inafutwa.
Kama ransomware nyingi, CoronaVirus hujaribu kufuta chelezo za ndani na kuzima utiaji kivuli wa faili kwa kutekeleza amri zifuatazo za mfumo:
C:Windowssystem32VSSADMIN.EXE Delete Shadows /All /Quiet
C:Windowssystem32wbadmin.exe delete systemstatebackup -keepVersions:0 -quiet
C:Windowssystem32wbadmin.exe delete backup -keepVersions:0 -quiet
Ifuatayo, programu huanza kusimba faili. Jina la kila faili iliyosimbwa litakuwa na [email protected]__ mwanzoni, na kila kitu kingine kinabaki sawa.
Kwa kuongezea, ransomware hubadilisha jina la kiendeshi C hadi CoronaVirus.
Katika kila saraka ambayo virusi hivi viliweza kuambukiza, faili ya CoronaVirus.txt inaonekana, ambayo ina maagizo ya malipo. Fidia ni bitcoins 0,008 tu au takriban $60. Lazima niseme, hii ni takwimu ya kawaida sana. Na hapa jambo ni kwamba mwandishi hakujiweka lengo la kupata tajiri sana ... au, kinyume chake, aliamua kuwa hii ilikuwa kiasi bora ambacho kila mtumiaji aliyeketi nyumbani kwa kujitenga anaweza kulipa. Kukubaliana, ikiwa huwezi kwenda nje, basi $ 60 ili kufanya kompyuta yako ifanye kazi tena sio nyingi.
Kwa kuongeza, Ransomware mpya inaandika faili ndogo inayoweza kutekelezwa ya DOS kwenye folda ya faili za muda na kuiandikisha kwenye Usajili chini ya ufunguo wa BootExecute ili maagizo ya malipo yataonyeshwa wakati mwingine kompyuta inapoanzishwa tena. Kulingana na mipangilio ya mfumo, ujumbe huu unaweza usionekane. Hata hivyo, baada ya usimbaji fiche wa faili zote kukamilika, kompyuta itaanza upya kiotomatiki.
KPOT infostealer
Ransomware hii pia inakuja na spyware ya KPOT. Infostealer hii inaweza kuiba vidakuzi na nywila zilizohifadhiwa kutoka kwa vivinjari mbalimbali, na pia kutoka kwa michezo iliyosakinishwa kwenye PC (ikiwa ni pamoja na Steam), Jabber na Skype wajumbe wa papo hapo. Eneo lake la kupendeza pia linajumuisha maelezo ya ufikiaji wa FTP na VPN. Baada ya kufanya kazi yake na kuiba kila kitu kinachoweza, jasusi hujifuta kwa amri ifuatayo:
cmd.exe /c ping 127.0.0.1 && del C:tempkpot.exe
Sio tu Ransomware tena
Shambulio hili, kwa mara nyingine tena lililohusishwa na mada ya janga la coronavirus, kwa mara nyingine tena inathibitisha kuwa programu ya kisasa ya ukombozi inataka kufanya zaidi ya kusimba faili zako kwa njia fiche. Katika kesi hiyo, mhasiriwa ana hatari ya kuwa na nywila kwa tovuti mbalimbali na portaler kuibiwa. Vikundi vya uhalifu wa mtandaoni vilivyopangwa sana kama vile Maze na DoppelPaymer vimekuwa na ustadi wa kutumia data ya kibinafsi iliyoibiwa kuwahadaa watumiaji ikiwa hawataki kulipia kurejesha faili. Hakika, ghafla sio muhimu sana, au mtumiaji ana mfumo wa chelezo ambao hauwezi kushambuliwa na Ransomware.
Licha ya usahili wake, CoronaVirus mpya inaonyesha wazi kwamba wahalifu wa mtandao pia wanatafuta kuongeza mapato yao na wanatafuta njia za ziada za uchumaji wa mapato. Mkakati wenyewe si mpya-kwa miaka kadhaa sasa, wachambuzi wa Acronis wamekuwa wakichunguza mashambulizi ya ransomware ambayo pia hupanda Trojans za kifedha kwenye kompyuta ya mwathirika. Kwa kuongezea, katika hali ya kisasa, shambulio la ransomware kwa ujumla linaweza kutumika kama hujuma ili kugeuza umakini kutoka kwa lengo kuu la washambuliaji - uvujaji wa data.
Kwa njia moja au nyingine, ulinzi dhidi ya vitisho hivyo unaweza kupatikana tu kwa kutumia mbinu jumuishi ya ulinzi wa mtandao. Na mifumo ya kisasa ya usalama huzuia vitisho kama hivyo kwa urahisi (na vipengele vyake vyote viwili) hata kabla ya kuanza kutumia algoriti za kiheuristic kwa kutumia teknolojia ya kujifunza kwa mashine. Ikiwa imeunganishwa na mfumo wa kurejesha / kuokoa maafa, faili za kwanza zilizoharibiwa zitarejeshwa mara moja.
Kwa wale wanaovutiwa, jumla ya hashi ya faili za IoC:
CoronaVirus Ransomware: 3299f07bc0711b3587fe8a1c6bf3ee6bcbc14cb775f64b28a61d72ebcb8968d3
Kpot infostealer: a08db3b44c713a96fe07e0bfc440ca9cf2e3d152a5d13a70d6102c15004c4240
Watumiaji waliojiandikisha pekee ndio wanaweza kushiriki katika utafiti. tafadhali.
Je, umewahi kukumbana na usimbaji fiche na wizi wa data kwa wakati mmoja?
-
19,0%Ndiyo4
-
42,9%No9
-
28,6%Itabidi tuwe macho zaidi6
-
9,5%Sikufikiria hata juu yake2
Watumiaji 21 walipiga kura. Watumiaji 5 walijizuia.
Chanzo: mapenzi.com