“Bir az dəyişdirilmiş zərərli proqram daşıyan tək bir fişinq e-poçtu, əgər düşmən kiber-gigiyenik cəhətdən laqeyd bir işçini əlavəni açmaq və ya zərərli linki klikləmək üçün aldadaraq və bununla da bütün şəbəkəni təhlükəyə atsa, çox milyon dollarlıq korporativ təhlükəsizlik həllərindən yan keçə bilər. .”
James Scott, Kritik İnfrastruktur Texnologiyaları İnstitutunun baş elmi işçisi
Keçən həftə Defray adlı Ransomware proqramı 5000 dollar tələb edən seçilmiş elit təşkilatları hədəf aldı. infeksiya üzərinə. Bu, qabaqcıl kriptoqrafik alqoritmdən istifadə edən C++ dilində yazılmış fayl kodlayıcı Trojandır.
Oxumalıdır: Kompüterinizi Ransomware-dən qorumaq üçün müxtəlif üsullar
Adı Defray ilk izlənilən hücumda əmr-nəzarət serverinin hostuna əsaslanır: 'defrayable-listings'.
O, həmçinin Glushkov Ransomware adı ilə də tanınır. Ad təhlükəni yaymaq üçün istifadə edilən və hakerlə əlaqə saxlamaq üçün istifadə edilən '[email protected],' 'glushkov®tutanota.de' və '[email protected]' e-poçt hesablarına istinad kimi istifadə oluna bilər.
O, iki kiçik və seçmə hücumu yayırdı və böyük kriptovalyuta təhlükəsi kimi tanınır. təhlükə Petya və WannaCry ştammlarına bənzədilir.
Məlumatlara görə, təhlükə əsasən xəstəxanalar və təhsil müəssisələri şəbəkəsini hədəf alır və məlumatların şifrələnməsidir.
İlk hücumlar səhiyyə və təhsil təşkilatı, digər hədəf istehsal və texnologiya institutları isə.
Necə Yayılır?
Img src: gbhackers
Zərərli proqramı yaymaq üçün istifadə edilən quraşdırıcı daxili icra edilə bilən video klipi (O LE paketləyicisi qabığı obyekti) ehtiva edən Word sənədindən istifadə edir.
Alıcı daxil edilmiş faylı oynatmağa çalışdıqda görüntü olan video, Defray Ransomware quraşdırılır və aktivləşdirilir. Quraşdırıldıqdan sonra o, məlumatları şifrələməyə başlayır və sonra girişi bərpa etmək üçün fidyə ödəməli olduğunuzu bəyan edən fidyə qeydi göstərir.
Fishing e-poçtları və hədəflənmiş nizə fişinq e-poçtları ofis işçilərini cəlb etmək üçün istifadə olunur və onlar daha sonra məcbur edilirlər. yoluxmuş sənədi oxuyun. E-poçtlar ayrı-ayrı şəxslərə və ya qruplara ünvanlanır və o, hədəfləri cəlb etmək üçün xüsusi hazırlanmış mesajlardan ibarətdir.
İlk dəfə istehsal və texnologiya mütəxəssislərini hədəf alan kampaniya avqustun 15-də baş tutub. Avqustun 22-də davam edən daha bir kampaniya wa s başladılıb, səhiyyə və təhsil təşkilatlarına saxta məktublar göndərilib. Bu e-məktubda xəstəxananın İnformasiya İdarəetməsi və Texnologiyası direktoru olduğu ehtimal edilən xəstə hesabatı var idi.
Img src: Proofpoint
Bu saxta e-poçtlar zərərli proqrama açıq dəvət verir və o, maşınlara quraşdırılır. Bu, Vampiri evinizdə qarşılamaq və sonra onun qanınızı almasına icazə vermək kimi bir şeydir.
Oxumalısınız: Ransomware ilə Mübarizə Olunarkən Edilənlər və Edilməməlilər
Bütün bunlardan sonra masaüstünüzdə fidyə qeydi göründükdən sonra qurbandan Bitcoin şəklində 5000 dollar ödəməsi tələb olunur.
Fidyə qeydini "Files.TXT" və "HELP" adlı iki faylda tapmaq olar. TXXR' və o, belə nəticəyə gəlir:
“Bu, xüsusi olaraq hazırlanmış ransomware proqramıdır, deşifrləmə antivirus şirkəti tərəfindən hazırlanmayacaq. Bunun heç adı da yoxdur. Faylları şifrələmək üçün AES-256, şifrələnmiş AES-256 parolunu saxlamaq üçün RSA-2048 və şifrələnmiş fayl bütövlüyünü saxlamaq üçün SHA-2 istifadə edir. C++ dilində yazılmışdır və bir çox keyfiyyət təminatı testlərindən keçmişdir. Növbəti dəfə bunun qarşısını almaq üçün oflayn ehtiyat nüsxələrindən istifadə edin.”
Mənbə: tripwire
Defray Ransomware faylları aşağıdakı uzantılarla şifrələyin:
.001, .3ds, .7zip, .MDF, .NRG, .PBF, .SQLITE, .SQLITE2, .SQLITE3, .SQLITEDB, .SVG, .UIF, .WMF, .abr, .accdb, .afi, , .asm, .bkf, .c4d, .cab, .cbm, .cbu, .class, .cls, .cpp, .cr2, .crw, .csh, .csv, .dat, .dbx, .dcr, . dgn, .djvu, .dng, .doc, .docm, .docx, .dwfx, .dwg, .dxf, .exe, .fla, .fpx, .gdb, .gho, .ghs, .hdd, .html, .iso, .iv2i, .java, .key, .lcf, .lnk, .matlab, .max, .mdb, .mdi, .mrbak, .mrimg, .mrw, .nef, .odg, .ofx, .orf , .ova, .ovf, .pbd, .pcd, .pdf, .php, .pps, .ppsx, .ppt, .pptx, .pqi, .prn, .psb, .psd, .pst, .ptx, . pvm, .pzl, .qfx, .qif, .r00, .raf, .rar, .raw, .reg, .rw2, .s3db, .skp, .spf, .spi, .sql, .sqlite-jurnal, . stl, .sup, .swift, .tib, .txf, .u3d, .v2i, .vcd, .vcf, .vdi, .vhd, .vmdk, .vmem, .vmwarevm, .vmx, .vsdx, .wallet .win, .xls, .xlsm, .xlsx, .zip.
Mənbə: enigmasoftware
Sonrakı Oxu: Locky Ransomware 'Ölülərdən Geri'
Bütün bu ransomware hücumları qorunmaq və xəbərdar olmaq üçün həyəcan siqnalıdır. Anonim mənbələrdən alınan və əmin olmadığımız e-poçtları açmaqdan çəkinməliyik. Elektron poçtda aldığımız bütün əlavələri açmamalıyıq. Həmçinin təhlükəsizlik nöqteyi-nəzərindən m-də yenilənmiş antivirus quraşdırılmalıdır maşın.
oxumaq: 0
