Get best of the week

数字冠状病毒-勒索软件和Infostealer的组合

以冠状病毒为主题的各种威胁继续在网络上出现。今天,我们希望共享有关一个有趣实例的信息,这些实例清楚地表明了攻击者希望最大化其利润的愿望。二合一威胁称自己为冠状病毒。有关恶意软件的详细信息已被删除。

图片

冠状病毒主题的开发已在一个多月前开始。攻击者利用公共利益获取有关大流行蔓延,采取的措施的信息。网络上已经出现了大量不同的小部件,特殊应用程序和伪造站点,这些伪造行为危及用户,窃取数据,有时还会加密设备的内容并要求勒索。这正是Coronavirus Tracker移动应用程序的工作方式,它阻止了对设备的访问并需要赎金。

恶意软件传播的一个单独主题已与财务支持措施混为一谈。在许多国家,政府承诺在大流行期间向普通市民和企业代表提供帮助和支持。几乎在任何地方,获得此帮助都不是简单而透明的。此外,许多人希望他们能得到财政上的帮助,但不知道他们是否被列入那些将获得国家补贴的人的名单。那些已经从国家那里得到一些东西的人不太可能拒绝额外的援助。

这正是攻击者使用的。他们代表银行,金融监管机构和社会保障机构发送信件寻求帮助。您只需要点击链接即可...

不难猜测,单击可疑地址后,某人最终会在钓鱼网站上受邀输入其财务信息。多数情况下,随着网站的开放,攻击者试图使用特洛伊木马程序感染计算机,该程序旨在窃取个人数据,尤其是金融信息。有时,该信件的附件中有一个受密码保护的文件,其中包含间谍软件或勒索软件形式的“有关如何获得政府支持的重要信息”。

此外,Infostealer类别的程序最近也开始在社交网络上传播。例如,如果您想下载一些合法的Windows实用程序,例如wisecleaner [。] Best,Infostealer可能会附带它。通过单击链接,用户会收到一个引导加载程序,该引导加载程序会与该实用程序一起下载恶意软件,并且根据受害者计算机的配置来选择下载源。

冠状病毒2022


我们为什么要度过整个旅程?事实是,这种新型恶意软件的创建者没有考虑太长时间,只是吸收了最好的恶意软件,使受害者对两种攻击感到满意。一方面加载加密程序(CoronaVirus),另一方面加载KPOT infostealer。

冠状病毒勒索软件


加密器本身是一个小的44KB文件。威胁很简单但有效。可执行文件将自己以一个随机名称复制到中%AppData%\Local\Temp\vprdh.exe,并在注册表中安装一个密钥\Windows\CurrentVersion\Run。放置副本后,原件将被删除。

与大多数勒索软件程序一样,CoronaVirus尝试通过执行以下系统命令来删除本地备份并禁用影子文件: 接下来,该软件开始对文件进行加密。每个加密文件的名称将在开头包含,其他所有内容均保持不变。 此外,勒索软件将驱动器C的名称更改为CoronaVirus。
C:\Windows\system32\VSSADMIN.EXE Delete Shadows /All /Quiet
C:\Windows\system32\wbadmin.exe delete systemstatebackup -keepVersions:0 -quiet
C:\Windows\system32\wbadmin.exe delete backup -keepVersions:0 -quiet

coronaVi2022@protonmail.ch__


图片

在该病毒设法感染的每个目录中,都会显示一个CoronaVirus.txt文件,其中包含付款说明。回购仅为0.008比特币或约60美元。我必须说,这是一个非常适度的指标。这里的问题是作者没有设定自己的目标,即自己无法大大丰富自己……或者相反,他认为这是每个坐在家里进行自我隔离的用户都可以支付的绝好数目。同意,如果您不能出门,那么60美元就可以使计算机重新工作,这不是很多。

图片

此外,新的勒索软件在临时文件文件夹中写入一个小型DOS可执行文件,并在BootExecute键下将其注册到注册表中,以便下次重新启动计算机时显示付款说明。根据系统的参数,可能不会显示此消息。但是,所有文件加密后,计算机将自动重新启动。

图片

KPOT信息窃取者


该勒索软件还随附KPOT间谍软件。这个信息窃取者可以从各种浏览器以及PC上安装的游戏(包括Steam),Jabber Messenger和Skype中窃取cookie和保存的密码。他感兴趣的领域还包括访问FTP和VPN。完成工作并窃取所有可能的东西后,间谍将使用以下命令将自己删除:

cmd.exe /c ping 127.0.0.1 && del C:\temp\kpot.exe

不仅是勒索软件


这次攻击再次与冠状病毒大流行的主题有关,再次证明现代勒索软件不仅寻求加密文件。在这种情况下,受害者冒着将密码窃取到不同站点和门户网站的风险。诸如Maze和DoppelPaymer之类的组织严密的网络犯罪组织已经掌握了使用盗窃的个人数据勒索用户(如果他们不想为文件恢复付费)的信条。确实,突然之间它们并不是那么重要,或者用户拥有的备份系统无法屈服于勒索软件攻击。

尽管新方法很简单,但新的冠状病毒清楚地表明,网络犯罪分子试图增加其收入并寻求其他货币化手段。该策略本身并不陌生-几年来,Acronis的分析师一直在观察密码学家的攻击,而密码学家也在受害者的计算机上植入金融木马。此外,在现代情况下,加密程序攻击通常可以转移注意力,以转移人们对攻击者的主要目标的关注-数据泄漏。

只能通过一种集成的网络防御方法来实现抵御此类威胁的一种或另一种方式。而且由于使用机器学习技术的启发式算法,即使在开始工作之前,现代安全系统也很容易阻止此类威胁(两者都是组件)。如果与备份/灾难恢复系统集成,将立即还原第一个损坏的文件。

图片

对于那些感兴趣的人,可以查看IoC文件的哈希值:

CoronaVirus Ransomware:3299f07bc0711b3587fe8a1c6bf3ee6bcbc14cb775f64b28a61d72ebcb8968d3
Kpot infostealer:a08db3b44c713a96fe07ec240c1540c440c154caaaaaa

More articles:


All Articles