కరోనావైరస్ థీమ్లను ఉపయోగించి వివిధ బెదిరింపులు ఆన్లైన్లో కనిపిస్తూనే ఉన్నాయి. మరియు ఈ రోజు మనం ఒక ఆసక్తికరమైన ఉదాహరణ గురించి సమాచారాన్ని పంచుకోవాలనుకుంటున్నాము, అది దాడి చేసే వారి లాభాలను పెంచుకోవాలనే కోరికను స్పష్టంగా ప్రదర్శిస్తుంది. "2-ఇన్ -1" వర్గం నుండి వచ్చే ముప్పు తనను తాను కరోనా వైరస్ అని పిలుస్తుంది. మరియు మాల్వేర్ గురించి వివరణాత్మక సమాచారం కట్ కింద ఉంది.
కరోనావైరస్ థీమ్ యొక్క దోపిడీ ఒక నెల కంటే ఎక్కువ కాలం క్రితం ప్రారంభమైంది. మహమ్మారి వ్యాప్తి మరియు తీసుకున్న చర్యల గురించి సమాచారంపై ప్రజల ఆసక్తిని దాడి చేసినవారు ఉపయోగించుకున్నారు. ఇంటర్నెట్లో భారీ సంఖ్యలో విభిన్న ఇన్ఫార్మర్లు, ప్రత్యేక అప్లికేషన్లు మరియు నకిలీ సైట్లు కనిపించాయి, ఇవి వినియోగదారులను రాజీ చేస్తాయి, డేటాను దొంగిలించాయి మరియు కొన్నిసార్లు పరికరంలోని కంటెంట్లను గుప్తీకరిస్తాయి మరియు విమోచన క్రయధనాన్ని డిమాండ్ చేస్తాయి. పరికరానికి యాక్సెస్ను బ్లాక్ చేయడం మరియు విమోచన క్రయధనం డిమాండ్ చేయడం వంటి వాటిని కరోనా వైరస్ ట్రాకర్ మొబైల్ యాప్ ఖచ్చితంగా చేస్తుంది.
మాల్వేర్ వ్యాప్తికి ప్రత్యేక సమస్య ఆర్థిక సహాయ చర్యలతో గందరగోళం. అనేక దేశాలలో, మహమ్మారి సమయంలో సాధారణ పౌరులు మరియు వ్యాపార ప్రతినిధులకు ప్రభుత్వం సహాయం మరియు మద్దతును వాగ్దానం చేసింది. మరియు దాదాపు ఎక్కడా ఈ సహాయం సాధారణ మరియు పారదర్శకంగా అందుకోవడం లేదు. అంతేకాదు ఆర్థికంగా ఆదుకుంటామని పలువురు ఆశిస్తున్నారు కానీ.. ప్రభుత్వ రాయితీలు పొందే వారి జాబితాలో చేరిపోయారో లేదో తెలియదు. మరియు ఇప్పటికే రాష్ట్రం నుండి ఏదైనా పొందిన వారు అదనపు సహాయాన్ని తిరస్కరించే అవకాశం లేదు.
దాడి చేసేవారు సరిగ్గా దీన్నే సద్వినియోగం చేసుకుంటారు. వారు బ్యాంకులు, ఆర్థిక నియంత్రకాలు మరియు సామాజిక భద్రతా అధికారుల తరపున సహాయం అందిస్తూ లేఖలు పంపుతారు. మీరు లింక్ని అనుసరించండి చాలు...
సందేహాస్పదమైన చిరునామాపై క్లిక్ చేసిన తర్వాత, ఒక వ్యక్తి తన ఆర్థిక సమాచారాన్ని నమోదు చేయమని అడిగే ఫిషింగ్ సైట్లో ముగుస్తుందని ఊహించడం కష్టం కాదు. చాలా తరచుగా, వెబ్సైట్ను తెరవడంతో పాటు, దాడి చేసేవారు వ్యక్తిగత డేటాను మరియు ముఖ్యంగా ఆర్థిక సమాచారాన్ని దొంగిలించే లక్ష్యంతో ట్రోజన్ ప్రోగ్రామ్తో కంప్యూటర్కు హాని కలిగించడానికి ప్రయత్నిస్తారు. కొన్నిసార్లు ఇమెయిల్ అటాచ్మెంట్లో పాస్వర్డ్-రక్షిత ఫైల్ ఉంటుంది, ఇందులో స్పైవేర్ లేదా ransomware రూపంలో "మీరు ప్రభుత్వ మద్దతును ఎలా పొందవచ్చనే దాని గురించి ముఖ్యమైన సమాచారం" ఉంటుంది.
అదనంగా, ఇటీవల ఇన్ఫోస్టీలర్ వర్గం నుండి ప్రోగ్రామ్లు కూడా సోషల్ నెట్వర్క్లలో వ్యాప్తి చెందడం ప్రారంభించాయి. ఉదాహరణకు, మీరు కొన్ని చట్టబద్ధమైన విండోస్ యుటిలిటీని డౌన్లోడ్ చేయాలనుకుంటే, వైజ్క్లీనర్[.]బెస్ట్ అని చెప్పండి, ఇన్ఫోస్టీలర్ దానితో కలిసి రావచ్చు. లింక్పై క్లిక్ చేయడం ద్వారా, వినియోగదారు మాల్వేర్ను డౌన్లోడ్ చేసే డౌన్లోడ్ను అందుకుంటారు, అది బాధితుడి కంప్యూటర్ కాన్ఫిగరేషన్పై ఆధారపడి డౌన్లోడ్ సోర్స్ ఎంచుకోబడుతుంది.
కరోనావైరస్ 2022
మేము ఈ మొత్తం విహారయాత్ర ఎందుకు చేసాము? వాస్తవం ఏమిటంటే, కొత్త మాల్వేర్, దీని సృష్టికర్తలు పేరు గురించి ఎక్కువసేపు ఆలోచించలేదు, కేవలం అన్ని ఉత్తమాలను గ్రహించి, ఒకేసారి రెండు రకాల దాడులతో బాధితుడిని ఆనందపరిచింది. ఒక వైపు, ఎన్క్రిప్షన్ ప్రోగ్రామ్ (కరోనావైరస్) లోడ్ చేయబడింది మరియు మరొక వైపు, KPOT ఇన్ఫోస్టీలర్.
కరోనా వైరస్ ransomware
ransomware అనేది 44KB కొలిచే చిన్న ఫైల్. ముప్పు సరళమైనది కానీ సమర్థవంతమైనది. ఎక్జిక్యూటబుల్ ఫైల్ యాదృచ్ఛిక పేరుతో కాపీ చేస్తుంది %AppData%LocalTempvprdh.exe
, మరియు రిజిస్ట్రీలో కీని కూడా సెట్ చేస్తుంది WindowsCurrentVersionRun
. కాపీని ఉంచిన తర్వాత, అసలైనది తొలగించబడుతుంది.
చాలా ransomware మాదిరిగానే, కరోనా వైరస్ స్థానిక బ్యాకప్లను తొలగించడానికి మరియు కింది సిస్టమ్ ఆదేశాలను అమలు చేయడం ద్వారా ఫైల్ షేడోవింగ్ను నిలిపివేయడానికి ప్రయత్నిస్తుంది:
C:Windowssystem32VSSADMIN.EXE Delete Shadows /All /Quiet
C:Windowssystem32wbadmin.exe delete systemstatebackup -keepVersions:0 -quiet
C:Windowssystem32wbadmin.exe delete backup -keepVersions:0 -quiet
తరువాత, సాఫ్ట్వేర్ ఫైల్లను గుప్తీకరించడం ప్రారంభిస్తుంది. ప్రతి గుప్తీకరించిన ఫైల్ పేరు కలిగి ఉంటుంది [email protected]__
ప్రారంభంలో, మరియు మిగతావన్నీ అలాగే ఉంటాయి.
అదనంగా, ransomware C డ్రైవ్ పేరును కరోనా వైరస్గా మారుస్తుంది.
ఈ వైరస్ సోకగలిగిన ప్రతి డైరెక్టరీలో, చెల్లింపు సూచనలను కలిగి ఉన్న CoronaVirus.txt ఫైల్ కనిపిస్తుంది. విమోచన క్రయధనం కేవలం 0,008 బిట్కాయిన్లు లేదా దాదాపు $60. నేను చెప్పాలి, ఇది చాలా నిరాడంబరమైన వ్యక్తి. మరియు ఇక్కడ విషయం ఏమిటంటే, రచయిత చాలా ధనవంతులు కావాలనే లక్ష్యాన్ని నిర్దేశించుకోలేదు ... లేదా, దీనికి విరుద్ధంగా, ఇది స్వీయ-ఒంటరిగా ఇంట్లో కూర్చున్న ప్రతి వినియోగదారు చెల్లించగల అద్భుతమైన మొత్తం అని అతను నిర్ణయించుకున్నాడు. అంగీకరిస్తున్నాను, మీరు బయటికి వెళ్లలేకపోతే, మీ కంప్యూటర్ను మళ్లీ పని చేయడానికి $60 అంత ఎక్కువ కాదు.
అదనంగా, కొత్త Ransomware తాత్కాలిక ఫైల్ల ఫోల్డర్లో ఒక చిన్న DOS ఎక్జిక్యూటబుల్ ఫైల్ను వ్రాసి, దానిని BootExecute కీ క్రింద రిజిస్ట్రీలో నమోదు చేస్తుంది, తద్వారా కంప్యూటర్ రీబూట్ చేయబడిన తదుపరిసారి చెల్లింపు సూచనలు చూపబడతాయి. సిస్టమ్ సెట్టింగ్ల ఆధారంగా, ఈ సందేశం కనిపించకపోవచ్చు. అయితే, అన్ని ఫైల్ల ఎన్క్రిప్షన్ పూర్తయిన తర్వాత, కంప్యూటర్ స్వయంచాలకంగా పునఃప్రారంభించబడుతుంది.
KPOT ఇన్ఫోస్టీలర్
ఈ Ransomware KPOT స్పైవేర్తో కూడా వస్తుంది. ఈ ఇన్ఫోస్టీలర్ వివిధ రకాల బ్రౌజర్ల నుండి కుక్కీలను మరియు సేవ్ చేసిన పాస్వర్డ్లను దొంగిలించవచ్చు, అలాగే PC (స్టీమ్తో సహా), జబ్బర్ మరియు స్కైప్ ఇన్స్టంట్ మెసెంజర్లలో ఇన్స్టాల్ చేయబడిన గేమ్ల నుండి కూడా దొంగిలించవచ్చు. అతని ఆసక్తి ఉన్న ప్రాంతం FTP మరియు VPN కోసం యాక్సెస్ వివరాలను కూడా కలిగి ఉంటుంది. తన పనిని పూర్తి చేసి, తాను చేయగలిగినదంతా దొంగిలించిన తర్వాత, గూఢచారి కింది ఆదేశంతో తనను తాను తొలగిస్తాడు:
cmd.exe /c ping 127.0.0.1 && del C:tempkpot.exe
ఇది కేవలం Ransomware మాత్రమే కాదు
ఈ దాడి, మరోసారి కరోనావైరస్ మహమ్మారి థీమ్తో ముడిపడి ఉంది, ఆధునిక ransomware మీ ఫైల్లను గుప్తీకరించడం కంటే ఎక్కువ చేయడానికి ప్రయత్నిస్తుందని మరోసారి రుజువు చేసింది. ఈ సందర్భంలో, బాధితుడు వివిధ సైట్లు మరియు పోర్టల్ల పాస్వర్డ్లను దొంగిలించే ప్రమాదం ఉంది. Maze మరియు DoppelPaymer వంటి అత్యంత వ్యవస్థీకృత సైబర్క్రిమినల్ గ్రూపులు ఫైల్ రికవరీ కోసం చెల్లించకూడదనుకుంటే వినియోగదారులను బ్లాక్మెయిల్ చేయడానికి దొంగిలించబడిన వ్యక్తిగత డేటాను ఉపయోగించడంలో ప్రవీణులుగా మారాయి. నిజానికి, అకస్మాత్తుగా అవి అంత ముఖ్యమైనవి కావు, లేదా వినియోగదారుకు Ransomware దాడులకు గురికాని బ్యాకప్ సిస్టమ్ ఉంది.
దాని సరళత ఉన్నప్పటికీ, కొత్త కరోనా వైరస్ సైబర్ నేరస్థులు కూడా తమ ఆదాయాన్ని పెంచుకోవడానికి ప్రయత్నిస్తున్నారని మరియు డబ్బు ఆర్జించడానికి అదనపు మార్గాల కోసం చూస్తున్నారని స్పష్టంగా చూపిస్తుంది. ఈ వ్యూహం కొత్తది కాదు-ఇప్పుడు చాలా సంవత్సరాలుగా, అక్రోనిస్ విశ్లేషకులు ransomware దాడులను గమనిస్తున్నారు, అది బాధితుడి కంప్యూటర్లో ఆర్థిక ట్రోజన్లను కూడా నాటుతుంది. అంతేకాకుండా, ఆధునిక పరిస్థితుల్లో, దాడి చేసేవారి ప్రధాన లక్ష్యం - డేటా లీకేజీ నుండి దృష్టిని మళ్లించడానికి ransomware దాడి సాధారణంగా విధ్వంసక చర్యగా ఉపయోగపడుతుంది.
ఒక మార్గం లేదా మరొకటి, అటువంటి బెదిరింపుల నుండి రక్షణను సైబర్ రక్షణకు సమగ్ర విధానాన్ని ఉపయోగించి మాత్రమే సాధించవచ్చు. మరియు ఆధునిక భద్రతా వ్యవస్థలు మెషిన్ లెర్నింగ్ టెక్నాలజీలను ఉపయోగించి హ్యూరిస్టిక్ అల్గారిథమ్లను ఉపయోగించడం ప్రారంభించే ముందు కూడా ఇటువంటి బెదిరింపులను (మరియు వాటి రెండు భాగాలు) సులభంగా నిరోధించాయి. బ్యాకప్/డిజాస్టర్ రికవరీ సిస్టమ్తో అనుసంధానించబడితే, మొదటి దెబ్బతిన్న ఫైల్లు వెంటనే పునరుద్ధరించబడతాయి.
ఆసక్తి ఉన్నవారికి, IoC ఫైల్ల హాష్ మొత్తాలు:
CoronaVirus Ransomware: 3299f07bc0711b3587fe8a1c6bf3ee6bcbc14cb775f64b28a61d72ebcb8968d3
Kpot infostealer: a08db3b44c713a96fe07e0bfc440ca9cf2e3d152a5d13a70d6102c15004c4240
నమోదు చేసుకున్న వినియోగదారులు మాత్రమే సర్వేలో పాల్గొనగలరు.
మీరు ఎప్పుడైనా ఏకకాలంలో ఎన్క్రిప్షన్ మరియు డేటా చోరీని ఎదుర్కొన్నారా?
-
19,0%అవును 4
-
42,9%No9
-
28,6%మనం మరింత అప్రమత్తంగా ఉండాలి6
-
9,5%నేను దాని గురించి కూడా ఆలోచించలేదు2
21 మంది వినియోగదారులు ఓటు వేశారు. 5 మంది వినియోగదారులు దూరంగా ఉన్నారు.
మూలం: www.habr.com