數位冠狀病毒 - 勒索軟體和資訊竊取者的組合

使用冠狀病毒主題的各種威脅繼續出現在網路上。今天我們想分享一個有趣的實例的訊息，該實例清楚地表明了攻擊者追求利潤最大化的願望。來自「二合一」類別的威脅稱為冠狀病毒。有關惡意軟體的詳細資訊已被刪除。

對冠狀病毒主題的利用一個多月前就開始了。攻擊者利用了公眾對有關大流行傳播和所採取措施的資訊的興趣。網路上出現了大量不同的告密者、特殊應用程式和虛假網站，它們危害用戶、竊取數據，有時還會加密設備內容並索取贖金。這正是冠狀病毒追蹤器行動應用程式所做的，阻止對設備的存取並要求贖金。

惡意軟體傳播的另一個問題是財務支援措施的混亂。在許多國家，政府已承諾在大流行期間向普通公民和企業代表提供援助和支持。幾乎沒有任何地方能夠簡單、透明地獲得這種援助。而且，很多人希望得到經濟上的幫助，但不知道自己是否在政府補貼對象之列。那些已經從國家得到一些東西的人不太可能拒絕額外的幫助。

這正是攻擊者所利用的。他們代表銀行、金融監理機構和社會保障機構致函提供協助。您只需點擊連結...

不難猜測，點擊可疑地址後，一個人最終會進入網路釣魚網站，並被要求輸入財務資訊。大多數情況下，攻擊者在打開網站的同時，會嘗試使用特洛伊木馬程式感染計算機，旨在竊取個人數據，特別是財務資訊。有時，電子郵件附件包含受密碼保護的文件，其中包含間諜軟體或勒索軟體形式的「有關如何獲得政府支持的重要資訊」。

此外，最近Infostealer類別的程式也開始在社群網路上傳播。例如，如果您想下載一些合法的 Windows 實用程序，例如wisecleaner[.]best，Infostealer 很可能會與其捆綁在一起。透過點擊該鏈接，用戶會收到一個下載程序，該下載程序會隨實用程式一起下載惡意軟體，並根據受害者電腦的配置選擇下載來源。

冠狀病毒2022

我們為什麼要經歷這整個旅程？事實是，這種新的惡意軟體的創建者並沒有考慮太多的名字，它吸收了所有最好的東西，並同時透過兩種類型的攻擊來取悅受害者。一方面載入加密程式 (CoronaVirus)，另一方面載入 KPOT infostealer。

CoronaVirus勒索軟件

勒索軟體本身是一個大小為 44KB 的小檔案。威脅很簡單，但很有效。可執行檔以隨機名稱複製自身到 %AppData%LocalTempvprdh.exe，並在註冊表中設定該鍵 WindowsCurrentVersionRun。放置副本後，原件將被刪除。

與大多數勒索軟體一樣，CoronaVirus 嘗試透過執行以下系統命令來刪除本機備份並停用檔案陰影：
C:Windowssystem32VSSADMIN.EXE Delete Shadows /All /Quiet
C:Windowssystem32wbadmin.exe delete systemstatebackup -keepVersions:0 -quiet
C:Windowssystem32wbadmin.exe delete backup -keepVersions:0 -quiet

接下來，軟體開始加密檔案。每個加密檔案的名稱將包含 [email protected]__ 一開始，其他一切都保持不變。
此外，勒索軟體將C碟名稱改為CoronaVirus。

在該病毒成功感染的每個目錄中，都會出現一個 CoronaVirus.txt 文件，其中包含付款說明。贖金僅 0,008 個比特幣，約 60 美元。我必須說，這是一個非常溫和的數字。這裡的要點是，要么作者沒有給自己設定變得非常富有的目標……或者相反，他認為這是每個坐在家裡自我隔離的用戶都可以支付的金額。同意，如果你不能出去，那麼 60 美元讓你的電腦重新工作並不算多。

此外，新的勒索軟體會在臨時資料夾中寫入一個小型的DOS可執行文件，並將其註冊到註冊表中的BootExecute鍵下，以便在下次重新啟動電腦時顯示付款指令。根據系統設置，可能不會出現此訊息。但是，所有檔案加密完成後，電腦將自動重新啟動。

KPOT 資訊竊取者

該勒索軟體還附帶 KPOT 間諜軟體。這些資訊竊取者可以從各種瀏覽器以及 PC（包括 Steam）上安裝的遊戲、Jabber 和 Skype 即時通訊程式中竊取 cookie 和保存的密碼。他感興趣的領域還包括 FTP 和 VPN 的存取詳細資訊。在完成其工作並竊取所有可能的資訊後，間諜使用以下命令刪除自身：

cmd.exe /c ping 127.0.0.1 && del C:tempkpot.exe

這不再只是勒索軟體

這次攻擊再次與冠狀病毒大流行的主題聯繫在一起，再次證明現代勒索軟體的目的不僅僅是加密您的檔案。在這種情況下，受害者面臨各種網站和入口網站的密碼被盜的風險。 Maze 和 DoppelPaymer 等組織嚴密的網路犯罪團體非常擅長利用竊取的個人資料來勒索不想支付文件恢復費用的用戶。事實上，突然間它們不再那麼重要，或者使用者擁有不易受到勒索軟體攻擊的備份系統。

儘管新冠病毒很簡單，但它清楚地表明網路犯罪分子也在尋求增加收入並尋找其他獲利手段。該策略本身並不新鮮，多年來，Acronis 分析師一直在觀察勒索軟體攻擊，這些攻擊還會在受害者的電腦上植入金融木馬。此外，在現代情況下，勒索軟體攻擊通常可以作為破壞活動，以轉移攻擊者對資料外洩這一主要目標的注意力。

無論怎樣，只有使用綜合的網路防禦方法才能防範此類威脅。現代安全系統甚至在開始使用機器學習技術的啟發式演算法之前就可以輕鬆阻止此類威脅（及其兩個組件）。如果與備份/災難復原系統集成，第一個損壞的檔案將立即恢復。

對於那些感興趣的人，IoC 文件的哈希和：

CoronaVirus Ransomware: 3299f07bc0711b3587fe8a1c6bf3ee6bcbc14cb775f64b28a61d72ebcb8968d3
Kpot infostealer: a08db3b44c713a96fe07e0bfc440ca9cf2e3d152a5d13a70d6102c15004c4240

只有註冊用戶才能參與調查。 登入， 請。

您是否經歷過同時加密和資料被盜的情況？

• 19,0%是4

• 42,9%9號

• 28,6%我們必須更加警惕6

• 9,5%我根本沒想過2

21 位用戶投票。 5 名用戶棄權。

來源： www.habr.com