Вторник, 27 октября, 13:48
дома безопасность Новый CoronaVirus Ransomware выступает в качестве прикрытия для трояна Kpot

Новый CoronaVirus Ransomware выступает в качестве прикрытия для трояна Kpot

Новый вымогатель под названием CoronaVirus был распространен через фальшивый веб-сайт, претендующий на продвижение программного обеспечения для оптимизации системы WiseCleaner.

С ростом опасений и опасений по поводу эпидемии коронавируса (Corovavirus-COVID-19) злоумышленник запустил кампанию по распространению целого ряда вредоносных программ, состоящего из CoronaVirus Ransomware и Kpot Trojan.

Это новое вымогательское ПО было обнаружено MalwareHunterTeam, и после дальнейшего изучения источника файла было определено, как вредоносное ПО планирует распространять вымогательное ПО, и возможные признаки того, что это может быть на самом деле стеклоочиститель.

CoronaVirus Ransomware распространяется через поддельный веб-сайт WiseCleaner

Для распространения вредоносного ПО злоумышленники создали веб-сайт, который имитирует законный веб-сайт WiseCleaner.com.

CoronaVirus RansomwareDussman Group - утечка данных и вымогательская атака

Загрузки на этом сайте не активны, но они распространили файл с именем WSHSetup.exe, который работает как загрузчик и для CoronaVirus Ransomware, и для трояна с именем Kpot.

Когда программа запустится, она попытается загрузить различные файлы с удаленного сайта. В настоящее время для скачивания доступны только file1.exe и file2.exe, но вы можете видеть, что он пытается загрузить в общей сложности семь файлов.

Первым файлом, загружаемым установщиком, является file1.exe, который является трояном, который крадет пароль Kpot.

При выполнении он попытается украсть их печенье и учетные данные для входа в систему из веб-браузеров, обмена сообщениями, VPN, FTP, учетных записей электронной почты, игровых учетных записей, таких как Steam и Battle.net, и других служб. Вредонос также сделает снимок активного рабочего стола и попытается украсть кошельки. криптовалюта хранится на зараженном компьютере.

Затем эта информация загружается на удаленный сайт, управляемый злоумышленниками.

Второй файл, file2.exe, является CoronaVirus Ransomware, который будет использоваться для шифрования файлов в компьютер.

Зашифрованные файлы будут переименованы, чтобы продолжить использовать то же расширение, но имя файла будет изменено на электронную почту злоумышленника. Например, test.jpg будет зашифрован и переименован в «coronaVi2022@protonmail.ch___1.jpg».

В некоторых случаях, как показано ниже, электронная почта может по умолчанию указывать имя файла несколько раз.

В каждой папке, которая зашифрованы и на рабочем столе будет создана выкупная записка под названием CoronaVirus.txt, для которой требуется биткойны 0.008 (~ $ 50) по жестко закодированному адресу биткойнов bc1qkk6nwhsxvtp2akunhkke3tjcy2wv2zkk00xa3j, который еще не получил никаких платежей.

Также вымогатель переименует C: Drive в CoronaVirus.

При перезагрузке вымогатель отобразит экран блокировки, который отображает тот же текст примечания выкупа до загрузки Windows.

Руководитель SentinelLabs Виталий Кремез сказал BleepingComputer, что это показано изменением значения диспетчера «BootExecute» HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Session, которое запускает исполняемый файл из папки% Temp% перед загрузкой Windows при запуске.

Через 45 минут на экране блокировки появится немного другое сообщение. Тем не менее, вы все еще не можете ввести любой код, чтобы вернуться к система.

Через 15 минут он перезагружает Windows и отображает записку с требованием выкупа CoronaVirus.txt.

Это странный вымогатель и до сих пор анализируется на наличие слабых сторон.

Учитывая низкое количество выкупов, статический адрес биткойнов и сообщения, существует сильное подозрение, что это вымогательство используется скорее как прикрытие для заражения Kpot, а не для накопления деньги.

Теория BleepingComputer заключается в том, что вымогатель используется, чтобы отвлечь пользователя от понимания того, что троян Kpot установлен для кражи паролей, файлов cookie и кошельков криптовалют.

Любой зараженный этой атакой должен немедленно использовать другой компьютер, чтобы немедленно изменить все пароли.

ОСТАВИТЬ ОТВЕТ

Пожалуйста, введите ваш комментарий!
Пожалуйста, введите ваше имя здесь

Teo Ehc
Teo Ehchttps://www.secnews.gr
Будь ограниченным тиражом.

ЖИВЫЕ НОВОСТИ

Нарушение в психотерапевтической клинике привело к шантажу пациентов

Два года назад в финской психотерапевтической клинике произошла кибератака, которая привела к краже данных и требованию выкупа. Сейчас,...

Австралия: повышает кибербезопасность и конфиденциальность!

Правительство Нового Южного Уэльса в Австралии создало целевую группу по укреплению кибербезопасности и защиты ...

Более 100 ирригационных систем остались в сети.

В прошлом месяце более 100 умных ирригационных систем остались без пароля в Интернете, что позволило любому получить доступ ...

Нарушение в программном обеспечении Nitro, скорее всего, коснется Google, Apple, Microsoft.

Служба Nitro PDF (Nitro Software) пострадала от утечки данных, которая, как говорят, затронула многие известные компании, такие как Google, ...

Хакер украл 24 миллиона долларов у криптовалютного сервиса Harvest Finance

Хакер украл «криптовалютные активы» на сумму около 24 миллионов долларов у децентрализованного финансового сервиса (DeFi) Harvest Finance, веб-портала ...

Атака вымогателей "ударила" по избирательной базе данных в Джорджии, США!

В начале этого месяца в штате Джорджия (США) произошла атака вымогателя, которая затронула базу данных, используемую для проверки ...

Нарушение данных в офисе шерифа в Хеннепине

Офис шерифа в округе Хеннепин пострадал от утечки данных, в результате чего информация была утечка около 1400 человек.

Play Store: найдено 21 приложение для Android с рекламным ПО

Google удалил 15 приложений для Android из Play Маркета за выходные, согласно отчету ...

Новый ботнет KashmirBlack заразил сотни тысяч веб-сайтов

Считается, что новый ботнет KashmirBlack с ноября 2019 года заразил сотни тысяч веб-сайтов.

ФБР: поддерживает кибер-лагерь США для обучения ИТ и кибербезопасности

СССР и ФБР работают вместе, чтобы поддержать кибер-лагерь США. Эта...