Koronavirus mavzularidan foydalangan holda turli tahdidlar Internetda paydo bo'lishda davom etmoqda. Va bugun biz tajovuzkorlarning o'z daromadlarini maksimal darajada oshirish istagini aniq ko'rsatadigan qiziqarli misol haqida ma'lumot bilan bo'lishmoqchimiz. "2-in-1" toifasidagi tahdid o'zini CoronaVirus deb ataydi. Va zararli dastur haqida batafsil ma'lumot kesilgan ostida.
Koronavirus mavzusidan foydalanish bir oydan ko'proq vaqt oldin boshlangan. Hujumchilar aholining pandemiya tarqalishi va ko‘rilgan choralar haqidagi ma’lumotlarga qiziqishidan foydalangan. Internetda foydalanuvchilarni buzadigan, ma'lumotlarni o'g'irlaydigan va ba'zan qurilma tarkibini shifrlaydigan va to'lov talab qiladigan juda ko'p turli xil informatorlar, maxsus ilovalar va soxta saytlar paydo bo'ldi. Koronavirus Tracker mobil ilovasi aynan shunday qiladi, qurilmaga kirishni bloklaydi va to'lov talab qiladi.
Zararli dasturlarning tarqalishi uchun alohida masala moliyaviy qo'llab-quvvatlash choralari bilan chalkashlik edi. Ko'pgina mamlakatlarda hukumat pandemiya davrida oddiy fuqarolar va biznes vakillariga yordam va qo'llab-quvvatlashni va'da qildi. Va deyarli hech bir joyda bu yordam oddiy va shaffof qabul qilinmaydi. Qolaversa, ko'pchilik ularga moliyaviy yordam ko'rsatilishiga umid qilmoqda, lekin ular davlat subsidiyasi oladiganlar ro'yxatiga kiritilganmi yoki yo'qmi, bilmaydi. Va allaqachon davlatdan biror narsa olganlar qo'shimcha yordamdan bosh tortishlari dargumon.
Hujumchilar aynan shu narsadan foydalanadilar. Ular banklar, moliyaviy regulyatorlar va ijtimoiy himoya organlari nomidan yordam taklif qilgan xatlar jo'natadi. Siz shunchaki havolaga amal qilishingiz kerak ...
Shubhali manzilni bosgandan so'ng, odam o'zining moliyaviy ma'lumotlarini kiritish so'raladigan fishing saytiga kirishini taxmin qilish qiyin emas. Ko'pincha, veb-saytni ochish bilan bir vaqtda, tajovuzkorlar shaxsiy ma'lumotlarni va, xususan, moliyaviy ma'lumotlarni o'g'irlashga qaratilgan troyan dasturi bilan kompyuterni yuqtirishga harakat qilishadi. Ba'zan elektron pochta ilovasi josuslik dasturi yoki to'lov dasturi ko'rinishidagi "davlat tomonidan qanday yordam olishingiz mumkinligi haqidagi muhim ma'lumotlarni" o'z ichiga olgan parol bilan himoyalangan faylni o'z ichiga oladi.
Bundan tashqari, yaqinda ijtimoiy tarmoqlarda Infostealer toifasidagi dasturlar ham tarqala boshladi. Misol uchun, agar siz qonuniy Windows yordam dasturini yuklab olishni istasangiz, eng yaxshisi wisecleaner[.]deylik, Infostealer u bilan birga kelishi mumkin. Havolani bosish orqali foydalanuvchi yordamchi dastur bilan birga zararli dasturlarni yuklaydigan yuklab oluvchini oladi va yuklab olish manbasi qurbonning kompyuteri konfiguratsiyasiga qarab tanlanadi.
Koronavirus 2022
Nega biz butun ekskursiyadan o'tdik? Gap shundaki, yaratuvchilari nom haqida uzoq vaqt o'ylamagan yangi zararli dastur eng yaxshi narsalarni o'zlashtirdi va jabrlanuvchini bir vaqtning o'zida ikki turdagi hujumlar bilan quvontirdi. Bir tomonda shifrlash dasturi (CoronaVirus) yuklangan, boshqa tomondan esa KPOT ma'lumot o'g'irligi.
CoronaVirus to'lov dasturi
To'lov dasturining o'zi 44 KB hajmdagi kichik fayl. Tahdid oddiy, ammo samarali. Bajariladigan fayl o'zini tasodifiy nom ostida nusxa ko'chiradi %AppData%LocalTempvprdh.exe, shuningdek, ro'yxatga olish kitobida kalitni o'rnatadi WindowsCurrentVersionRun. Nusxa joylashtirilgandan so'ng, asl nusxa o'chiriladi.
Ko'pgina to'lov dasturlari singari, CoronaVirus ham quyidagi tizim buyruqlarini bajarish orqali mahalliy zaxira nusxalarini o'chirishga va fayllarning soyasini o'chirishga harakat qiladi:
C:Windowssystem32VSSADMIN.EXE Delete Shadows /All /Quiet
C:Windowssystem32wbadmin.exe delete systemstatebackup -keepVersions:0 -quiet
C:Windowssystem32wbadmin.exe delete backup -keepVersions:0 -quiet
Keyinchalik, dastur fayllarni shifrlashni boshlaydi. Har bir shifrlangan fayl nomi o'z ichiga oladi [email protected]__ boshida, qolgan hamma narsa bir xil bo'lib qoladi.
Bundan tashqari, ransomware C diskining nomini CoronaVirusga o'zgartiradi.
Ushbu virus yuqtirgan har bir katalogda to'lov ko'rsatmalarini o'z ichiga olgan CoronaVirus.txt fayli paydo bo'ladi. To'lov atigi 0,008 bitkoin yoki taxminan 60 dollarni tashkil qiladi. Aytishim kerakki, bu juda kamtarona ko'rsatkich. Va bu erda gap shundaki, muallif juda boyib ketishni o'z oldiga maqsad qilib qo'ymagan... yoki aksincha, bu o'z-o'zidan uyda o'tirgan har bir foydalanuvchi to'lashi mumkin bo'lgan ajoyib miqdor deb qaror qildi. Qabul qiling, agar siz tashqariga chiqa olmasangiz, kompyuteringizni qayta ishlash uchun 60 dollar unchalik ko'p emas.
Bundan tashqari, yangi Ransomware vaqtinchalik fayllar papkasida kichik DOS bajariladigan faylni yozadi va uni BootExecute kaliti ostidagi ro'yxatga olish kitobida ro'yxatdan o'tkazadi, shunda to'lov ko'rsatmalari kompyuter keyingi safar qayta ishga tushirilganda ko'rsatiladi. Tizim sozlamalariga qarab, bu xabar ko'rinmasligi mumkin. Biroq, barcha fayllarni shifrlash tugallangandan so'ng, kompyuter avtomatik ravishda qayta ishga tushadi.
KPOT ma'lumot o'g'irligi
Ushbu Ransomware shuningdek, KPOT josuslik dasturi bilan birga keladi. Ushbu maʼlumot oʻgʻirlovchisi turli brauzerlardan, shuningdek, shaxsiy kompyuterda (shu jumladan Steam), Jabber va Skype messenjerlarida oʻrnatilgan oʻyinlardan cookie-fayllar va saqlangan parollarni oʻgʻirlashi mumkin. Uning qiziqish doirasi FTP va VPN uchun kirish tafsilotlarini ham o'z ichiga oladi. O'z vazifasini bajarib, qo'lidan kelgan hamma narsani o'g'irlagan josus quyidagi buyruq bilan o'zini o'chiradi:
cmd.exe /c ping 127.0.0.1 && del C:tempkpot.exe
Bu endi faqat Ransomware emas
Koronavirus pandemiyasi mavzusiga yana bir bor bog'langan ushbu hujum zamonaviy to'lov dasturi fayllaringizni shifrlashdan ko'ra ko'proq narsani qilishga intilishini yana bir bor isbotlaydi. Bunday holda, jabrlanuvchi turli saytlar va portallarga parollar o'g'irlanishi xavfini tug'diradi. Maze va DoppelPaymer kabi yuqori darajada tashkil etilgan kiberjinoyatchilar guruhlari foydalanuvchilarga fayllarni qayta tiklash uchun pul toʻlashni istamasalar, oʻgʻirlangan shaxsiy maʼlumotlardan foydalanishga mohir boʻldi. Darhaqiqat, to'satdan ular unchalik muhim emas yoki foydalanuvchi Ransomware hujumlariga sezgir bo'lmagan zaxira tizimiga ega.
O'zining soddaligiga qaramay, yangi KoronaVirus kiberjinoyatchilar ham o'z daromadlarini oshirishga intilayotganini va qo'shimcha monetizatsiya vositalarini qidirayotganini aniq ko'rsatib turibdi. Strategiyaning o'zi yangi emas - bir necha yillardan beri Acronis tahlilchilari qurbonning kompyuteriga moliyaviy troyanlarni o'rnatadigan to'lov dasturi hujumlarini kuzatmoqda. Bundan tashqari, zamonaviy sharoitda, to'lov dasturi hujumi, odatda, tajovuzkorlarning asosiy maqsadi - ma'lumotlarning sizib chiqishidan chalg'itish uchun sabotaj bo'lib xizmat qilishi mumkin.
Qanday bo'lmasin, bunday tahdidlardan himoyalanish faqat kibermudofaaga kompleks yondashuv yordamida erishish mumkin. Va zamonaviy xavfsizlik tizimlari bunday tahdidlarni (va ularning ikkala komponentini) mashinani o'rganish texnologiyalaridan foydalangan holda evristik algoritmlardan foydalanishni boshlashdan oldin ham osongina blokirovka qiladi. Zaxira/falokatni tiklash tizimi bilan birlashtirilgan bo'lsa, birinchi shikastlangan fayllar darhol tiklanadi.
Qiziqqanlar uchun IoC fayllarining xesh summalari:
CoronaVirus Ransomware: 3299f07bc0711b3587fe8a1c6bf3ee6bcbc14cb775f64b28a61d72ebcb8968d3
Kpot infostealer: a08db3b44c713a96fe07e0bfc440ca9cf2e3d152a5d13a70d6102c15004c4240
So'rovda faqat ro'yxatdan o'tgan foydalanuvchilar ishtirok etishlari mumkin. iltimos.
Hech qachon bir vaqtning o'zida shifrlash va ma'lumotlar o'g'irlanishini boshdan kechirganmisiz?
-
19,0%Ha 4
-
42,9%№9
-
28,6%Biz hushyorroq bo'lishimiz kerak6
-
9,5%Men bu haqda o'ylamagan edim 2
21 foydalanuvchi ovoz berdi. 5 nafar foydalanuvchi betaraf qoldi.
Manba: www.habr.com