Patuloy na lumalabas online ang iba't ibang banta gamit ang mga tema ng coronavirus. At ngayon gusto naming magbahagi ng impormasyon tungkol sa isang kawili-wiling pagkakataon na malinaw na nagpapakita ng pagnanais ng mga umaatake na i-maximize ang kanilang mga kita. Ang banta mula sa kategoryang "2-in-1" ay tinatawag ang sarili nitong CoronaVirus. At ang detalyadong impormasyon tungkol sa malware ay nasa ilalim ng hiwa.
Ang pagsasamantala sa tema ng coronavirus ay nagsimula mahigit isang buwan na ang nakalipas. Sinamantala ng mga umaatake ang interes ng publiko sa impormasyon tungkol sa pagkalat ng pandemya at ang mga hakbang na ginawa. Ang isang malaking bilang ng iba't ibang mga informer, mga espesyal na application at mga pekeng site ay lumitaw sa Internet na nakompromiso ang mga gumagamit, nagnanakaw ng data, at kung minsan ay nag-e-encrypt ng mga nilalaman ng device at humihingi ng ransom. Ito mismo ang ginagawa ng Coronavirus Tracker mobile app, hinaharangan ang access sa device at humihingi ng ransom.
Ang isang hiwalay na isyu para sa pagkalat ng malware ay ang pagkalito sa mga hakbang sa suporta sa pananalapi. Sa maraming bansa, nangako ang gobyerno ng tulong at suporta sa mga ordinaryong mamamayan at kinatawan ng negosyo sa panahon ng pandemya. At halos wala saanman ay simple at malinaw ang pagtanggap ng tulong na ito. Bukod dito, marami ang umaasa na matutulungan sila ng pinansyal, ngunit hindi nila alam kung kasama sila sa listahan ng mga tatanggap ng subsidiya ng gobyerno o hindi. At ang mga nakatanggap na ng isang bagay mula sa estado ay malamang na hindi tumanggi sa karagdagang tulong.
Ito mismo ang sinasamantala ng mga umaatake. Nagpapadala sila ng mga liham sa ngalan ng mga bangko, mga regulator ng pananalapi at mga awtoridad sa social security, na nag-aalok ng tulong. Kailangan mo lang sundin ang link...
Hindi mahirap hulaan na pagkatapos mag-click sa isang kahina-hinalang address, ang isang tao ay mapupunta sa isang phishing site kung saan hihilingin sa kanya na ipasok ang kanyang impormasyon sa pananalapi. Kadalasan, kasabay ng pagbubukas ng website, sinusubukan ng mga attacker na mahawahan ang isang computer gamit ang isang Trojan program na naglalayong magnakaw ng personal na data at, lalo na, impormasyon sa pananalapi. Minsan ang isang email attachment ay may kasamang file na protektado ng password na naglalaman ng "mahalagang impormasyon tungkol sa kung paano ka makakakuha ng suporta ng pamahalaan" sa anyo ng spyware o ransomware.
Bilang karagdagan, kamakailan lamang ay nagsimulang kumalat sa mga social network ang mga programa mula sa kategoryang Infostealer. Halimbawa, kung gusto mong mag-download ng ilang lehitimong Windows utility, sabihin ang wisecleaner[.]pinakamahusay, maaaring kasama nito ang Infostealer. Sa pamamagitan ng pag-click sa link, ang user ay makakatanggap ng downloader na nagda-download ng malware kasama ng utility, at ang download source ay pinili depende sa configuration ng computer ng biktima.
coronavirus 2022
Bakit namin dinaanan ang buong iskursiyon na ito? Ang katotohanan ay ang bagong malware, na ang mga tagalikha nito ay hindi masyadong nag-isip tungkol sa pangalan, ay nakuha na ang lahat ng pinakamahusay at nalulugod ang biktima sa dalawang uri ng pag-atake nang sabay-sabay. Sa isang panig, ang encryption program (CoronaVirus) ay na-load, at sa kabilang banda, KPOT infostealer.
CoronaVirus ransomware
Ang ransomware mismo ay isang maliit na file na may sukat na 44KB. Ang pagbabanta ay simple ngunit epektibo. Kinokopya ng executable file ang sarili nito sa ilalim ng random na pangalan sa %AppData%LocalTempvprdh.exe, at itinatakda din ang susi sa pagpapatala WindowsCurrentVersionRun. Kapag nailagay na ang kopya, tatanggalin ang orihinal.
Tulad ng karamihan sa ransomware, sinusubukan ng CoronaVirus na tanggalin ang mga lokal na backup at huwag paganahin ang pag-shadow ng file sa pamamagitan ng pagpapatakbo ng mga sumusunod na command ng system:
C:Windowssystem32VSSADMIN.EXE Delete Shadows /All /Quiet
C:Windowssystem32wbadmin.exe delete systemstatebackup -keepVersions:0 -quiet
C:Windowssystem32wbadmin.exe delete backup -keepVersions:0 -quiet
Susunod, ang software ay magsisimulang mag-encrypt ng mga file. Maglalaman ang pangalan ng bawat naka-encrypt na file [email protected]__ sa simula, at lahat ng iba ay nananatiling pareho.
Bilang karagdagan, binago ng ransomware ang pangalan ng C drive sa CoronaVirus.
Sa bawat direktoryo na nagawang mahawaan ng virus na ito, may lalabas na CoronaVirus.txt file, na naglalaman ng mga tagubilin sa pagbabayad. Ang ransom ay 0,008 bitcoins lamang o humigit-kumulang $60. Dapat kong sabihin, ito ay isang napakahinhin na pigura. At dito ang punto ay alinman na ang may-akda ay hindi nagtakda sa kanyang sarili ng layunin na yumaman nang husto... o, sa kabaligtaran, nagpasya siya na ito ay isang mahusay na halaga na maaaring bayaran ng bawat gumagamit na nakaupo sa bahay sa pag-iisa sa sarili. Sumang-ayon, kung hindi ka makalabas, hindi ganoon kalaki ang $60 para gumana muli ang iyong computer.
Bilang karagdagan, ang bagong Ransomware ay nagsusulat ng isang maliit na DOS na maipapatupad na file sa folder ng pansamantalang mga file at nirerehistro ito sa registry sa ilalim ng BootExecute key upang ang mga tagubilin sa pagbabayad ay maipakita sa susunod na pag-reboot ng computer. Depende sa mga setting ng system, maaaring hindi lumabas ang mensaheng ito. Gayunpaman, pagkatapos makumpleto ang pag-encrypt ng lahat ng mga file, awtomatikong magre-restart ang computer.
KPOT infostealer
Ang Ransomware na ito ay kasama rin ng KPOT spyware. Ang infostealer na ito ay maaaring magnakaw ng cookies at naka-save na mga password mula sa iba't ibang mga browser, pati na rin sa mga larong naka-install sa isang PC (kabilang ang Steam), Jabber at Skype instant messenger. Kasama rin sa kanyang lugar ng interes ang mga detalye ng pag-access para sa FTP at VPN. Matapos magawa ang trabaho nito at ninakaw ang lahat ng makakaya nito, tinatanggal ng espiya ang sarili nito gamit ang sumusunod na utos:
cmd.exe /c ping 127.0.0.1 && del C:tempkpot.exe
Ito ay hindi lamang Ransomware
Ang pag-atakeng ito, na muling nauugnay sa tema ng coronavirus pandemic, ay muling nagpapatunay na ang modernong ransomware ay naglalayong gawin ang higit pa sa pag-encrypt ng iyong mga file. Sa kasong ito, ang biktima ay may panganib na magkaroon ng mga password sa iba't ibang mga site at portal na ninakaw. Ang mataas na organisadong cybercriminal na mga grupo tulad ng Maze at DoppelPaymer ay naging bihasa sa paggamit ng ninakaw na personal na data upang i-blackmail ang mga user kung ayaw nilang magbayad para sa pagbawi ng file. Sa katunayan, bigla silang hindi gaanong mahalaga, o ang gumagamit ay may isang backup na sistema na hindi madaling kapitan sa pag-atake ng Ransomware.
Sa kabila ng pagiging simple nito, malinaw na ipinapakita ng bagong CoronaVirus na ang mga cybercriminal ay naghahangad din na mapataas ang kanilang kita at naghahanap ng karagdagang paraan ng monetization. Ang mismong diskarte ay hindi bago-sa loob ng ilang taon na ngayon, ang mga analyst ng Acronis ay nagmamasid sa mga pag-atake ng ransomware na nagtatanim din ng mga pinansyal na Trojan sa computer ng biktima. Bukod dito, sa mga modernong kundisyon, ang pag-atake ng ransomware ay karaniwang magsisilbing isang sabotahe upang ilihis ang atensyon mula sa pangunahing layunin ng mga umaatake - ang pagtagas ng data.
Sa isang paraan o iba pa, ang proteksyon laban sa mga naturang banta ay maaari lamang makamit gamit ang pinagsamang diskarte sa cyber defense. At ang mga modernong sistema ng seguridad ay madaling hinaharangan ang gayong mga banta (at pareho ng kanilang mga bahagi) bago pa man sila magsimulang gumamit ng mga heuristic algorithm gamit ang mga teknolohiya sa pag-aaral ng makina. Kung isinama sa isang backup/disaster recovery system, ang mga unang nasirang file ay agad na maibabalik.
Para sa mga interesado, hash sums ng IoC file:
CoronaVirus Ransomware: 3299f07bc0711b3587fe8a1c6bf3ee6bcbc14cb775f64b28a61d72ebcb8968d3
Kpot infostealer: a08db3b44c713a96fe07e0bfc440ca9cf2e3d152a5d13a70d6102c15004c4240
Ang mga rehistradong user lamang ang maaaring lumahok sa survey. , pakiusap
Nakaranas ka na ba ng sabay na pag-encrypt at pagnanakaw ng data?
-
19,0%Oo4
-
42,9%No9
-
28,6%Dapat tayong maging mas mapagbantay6
-
9,5%Hindi ko man lang naisip2
21 user ang bumoto. 5 na user ang umiwas.
Pinagmulan: www.habr.com