使用冠状病毒主题的各种威胁继续出现在网上。 今天我们想分享一个有趣的实例的信息,它清楚地表明了攻击者追求利润最大化的愿望。 来自“二合一”类别的威胁称为冠状病毒。 有关恶意软件的详细信息已被删除。
对冠状病毒主题的利用一个多月前就开始了。 攻击者利用了公众对有关大流行病传播和所采取措施的信息的兴趣。 互联网上出现了大量不同的告密者、特殊应用程序和虚假网站,它们危害用户、窃取数据,有时还会加密设备内容并索要赎金。 这正是冠状病毒追踪器移动应用程序所做的,阻止对设备的访问并要求赎金。
恶意软件传播的另一个问题是财务支持措施的混乱。 在许多国家,政府已承诺在大流行期间向普通公民和企业代表提供援助和支持。 几乎没有任何地方能够简单、透明地获得这种援助。 而且,很多人希望得到经济上的帮助,但不知道自己是否在政府补贴对象之列。 那些已经从国家得到一些东西的人不太可能拒绝额外的帮助。
这正是攻击者所利用的。 他们代表银行、金融监管机构和社会保障机构致函提供帮助。 您只需点击链接...
不难猜测,点击可疑地址后,一个人最终会进入网络钓鱼网站,并被要求输入财务信息。 大多数情况下,攻击者在打开网站的同时,会尝试使用特洛伊木马程序感染计算机,旨在窃取个人数据,特别是财务信息。 有时,电子邮件附件包含受密码保护的文件,其中包含间谍软件或勒索软件形式的“有关如何获得政府支持的重要信息”。
此外,最近Infostealer类别的程序也开始在社交网络上传播。 例如,如果您想下载一些合法的 Windows 实用程序,比如wisecleaner[.]best,Infostealer 很可能会与其捆绑在一起。 通过单击该链接,用户会收到一个下载程序,该下载程序会随实用程序一起下载恶意软件,并根据受害者计算机的配置选择下载源。
冠状病毒2022
我们为什么要经历这整个旅程? 事实是,这种新的恶意软件的创建者并没有考虑太多的名字,它吸收了所有最好的东西,并同时通过两种类型的攻击来取悦受害者。 一方面加载加密程序 (CoronaVirus),另一方面加载 KPOT infostealer。
冠状病毒勒索软件
勒索软件本身是一个大小为 44KB 的小文件。 威胁很简单,但很有效。 可执行文件以随机名称复制自身到 %AppData%LocalTempvprdh.exe,并在注册表中设置该键 WindowsCurrentVersionRun。 放置副本后,原件将被删除。
与大多数勒索软件一样,CoronaVirus 尝试通过运行以下系统命令来删除本地备份并禁用文件阴影:
C:Windowssystem32VSSADMIN.EXE Delete Shadows /All /Quiet
C:Windowssystem32wbadmin.exe delete systemstatebackup -keepVersions:0 -quiet
C:Windowssystem32wbadmin.exe delete backup -keepVersions:0 -quiet
接下来,软件开始加密文件。 每个加密文件的名称将包含 [email protected]__ 一开始,其他一切都保持不变。
此外,勒索软件将C盘名称更改为CoronaVirus。
在该病毒成功感染的每个目录中,都会出现一个 CoronaVirus.txt 文件,其中包含付款说明。 赎金仅为 0,008 个比特币,约合 60 美元。 我必须说,这是一个非常温和的数字。 这里的要点是,要么作者没有给自己设定变得非常富有的目标……或者相反,他认为这是每个坐在家里自我隔离的用户都可以支付的金额。 同意,如果你不能出去,那么 60 美元让你的电脑重新工作并不算多。
此外,新的勒索软件会在临时文件夹中写入一个小的DOS可执行文件,并将其注册到注册表中的BootExecute键下,以便在下次重新启动计算机时显示付款指令。 根据系统设置,可能不会出现此消息。 但是,所有文件加密完成后,计算机将自动重新启动。
KPOT 信息窃取者
该勒索软件还附带 KPOT 间谍软件。 该信息窃取者可以从各种浏览器以及 PC(包括 Steam)上安装的游戏、Jabber 和 Skype 即时通讯程序中窃取 cookie 和保存的密码。 他感兴趣的领域还包括 FTP 和 VPN 的访问详细信息。 在完成其工作并窃取所有可能的信息后,间谍使用以下命令删除自身:
cmd.exe /c ping 127.0.0.1 && del C:tempkpot.exe
这不再只是勒索软件
这次攻击再次与冠状病毒大流行的主题联系在一起,再次证明现代勒索软件的目的不仅仅是加密您的文件。 在这种情况下,受害者面临各种网站和门户的密码被盗的风险。 Maze 和 DoppelPaymer 等组织严密的网络犯罪团体非常擅长利用窃取的个人数据来勒索不想支付文件恢复费用的用户。 事实上,突然间它们不再那么重要,或者用户拥有不易受到勒索软件攻击的备份系统。
尽管新冠病毒很简单,但它清楚地表明网络犯罪分子也在寻求增加收入并寻找其他获利手段。 该策略本身并不新鲜,多年来,Acronis 分析师一直在观察勒索软件攻击,这些攻击还会在受害者的计算机上植入金融木马。 此外,在现代情况下,勒索软件攻击通常可以作为破坏活动,以转移攻击者对数据泄露这一主要目标的注意力。
不管怎样,只有使用综合的网络防御方法才能防范此类威胁。 现代安全系统甚至在开始使用机器学习技术的启发式算法之前就可以轻松阻止此类威胁(及其两个组件)。 如果与备份/灾难恢复系统集成,第一个损坏的文件将立即恢复。
对于那些感兴趣的人,IoC 文件的哈希和:
CoronaVirus Ransomware: 3299f07bc0711b3587fe8a1c6bf3ee6bcbc14cb775f64b28a61d72ebcb8968d3
Kpot infostealer: a08db3b44c713a96fe07e0bfc440ca9cf2e3d152a5d13a70d6102c15004c4240
只有注册用户才能参与调查。 拜托
您是否经历过同时加密和数据被盗的情况?
-
19,0%是4
-
42,9%9号
-
28,6%我们必须更加警惕6
-
9,5%我根本没想过2
21 位用户投票。 5 位用户弃权。
来源: habr.com