"Biraz değiştirilmiş kötü amaçlı yazılım taşıyan tek bir hedef odaklı kimlik avı e-postası, bir saldırganın siber hijyen açısından ilgisiz bir çalışanı eki açması veya kötü amaçlı bir bağlantıya tıklaması için kandırması ve böylece tüm ağın güvenliğini tehlikeye atması durumunda milyonlarca dolarlık kurumsal güvenlik çözümlerini atlayabilir .”
James Scott, Kıdemli Araştırmacı, Kritik Altyapı Teknolojileri Enstitüsü
Geçen hafta, Defray adlı bir Fidye Yazılımı, 5.000 ABD Doları talep eden seçkin kuruluşlardan oluşan seçilmiş bir grubu hedef aldı. enfeksiyon üzerine. C++ ile yazılmış, gelişmiş şifreleme algoritması kullanan bir dosya kodlayıcı Truva atıdır.
Mutlaka Okumalısınız: Bilgisayarınızı Fidye Yazılımlarına Karşı Korumanın Çeşitli Yolları
Defray adı ilk izlenen saldırıdaki komuta ve kontrol sunucusu ana bilgisayarını temel alıyor: 'defrayable-listings'.
Glushkov Ransomware'in başka bir adıyla da biliniyor. Bu ad, tehdidi yaymak için ve bilgisayar korsanıyla iletişim kurmak için kullanılan '[e-posta korumalı]', 'glushkov®tutanota.de' ve '[e-posta korumalı]' e-posta hesaplarına referans olarak kullanılabilir.
İki küçük ve seçici saldırı dağıtıyordu ve büyük bir kripto tehdidi olarak kabul ediliyordu. Tehdit, Petya ve WannaCry türlerine benzetiliyor.
Raporlara göre tehdit çoğunlukla hastaneleri, eğitim kurumlarının ağlarını ve verileri şifreleyenleri hedefliyor.
İlk saldırılar şunlara yönelikti: sağlık ve eğitim kuruluşu, diğerleri ise imalat ve teknoloji kuruluşlarını hedef aldı.
Nasıl Yayılıyor?
Img src: gbhackers
Kötü amaçlı yazılımı yaymak için kullanılan yükleyici, gömülü yürütülebilir video klibi (O LE paketleyici kabuk nesnesi) içeren bir Word belgesi kullanıyor.
Alıcı, gömülü yürütülebilir video klibi oynatmaya çalıştığında Bir görüntü olan video, Defray Ransomware yüklenir ve etkinleştirilir. Kurulumdan sonra verileri şifrelemeye başlar ve ardından bir fidye notu görüntüleyerek yeniden erişim elde etmek için fidye ödemeniz gerektiğini belirtir.
Kimlik avı e-postaları ve hedefe yönelik hedef odaklı kimlik avı e-postaları ofis çalışanlarının ilgisini çekmek için kullanılır ve daha sonra onlar bunu yapmaya zorlanır. virüslü belgeyi okuyun. E-postalar bireylere veya gruplara yöneliktir ve hedefleri cezbetmek için özel olarak tasarlanmış mesajlardan oluşur.
Kampanya ilk kez 15 Ağustos'ta imalat ve teknoloji profesyonellerini hedef alarak gerçekleştirildi. 22 Ağustos'ta devam eden bir kampanya daha Sağlık ve eğitim kuruluşlarına e-postalar gönderilerek sahte e-postalar gönderildi. Bu e-posta, bir hastanedeki Bilgi Yönetimi ve Teknoloji Müdürü olduğu varsayılan bir yöneticinin hasta raporunu içeriyordu.
Img src: Kanıt Noktası
Bu sahte e-postalar, kötü amaçlı yazılıma açık davetiye verir ve makinelere yüklenir. Bu, bir Vampiri evinize davet edip sonra onun kanınızı almasına izin vermek gibidir.
Mutlaka Okuyun:Fidye Yazılımıyla Başa Çıkırken Yapılması ve Yapılmaması Gerekenler
Tüm bunlardan sonra masaüstünüzde bir fidye notu belirir ve kurbandan Bitcoin şeklinde 5.000$ ödemesi istenir.
Fidye notu 'Files.TXT' ve 'HELP.txt' adlı iki dosya altında bulunabilir. TXXR' ve şu sonuca varıyor:
“Bu özel olarak geliştirilmiş bir fidye yazılımıdır, şifre çözücü bir antivirüs şirketi tarafından yapılmayacaktır. Bunun bir adı bile yok. Dosyaları şifrelemek için AES-256, şifrelenmiş AES-256 şifresini saklamak için RSA-2048 ve şifrelenmiş dosya bütünlüğünü korumak için SHA-2 kullanır. C++ ile yazılmıştır ve birçok kalite güvence testinden geçmiştir. Bir dahaki sefere bunu önlemek için çevrimdışı yedeklemeleri kullanın.”
Kaynak: tripwire
Defray Ransomware, dosyaları aşağıdaki uzantılarla şifreler:
.001, .3ds, .7zip, .MDF, .NRG, .PBF, .SQLITE, .SQLITE2, .SQLITE3, .SQLITEDB, .SVG, .UIF, .WMF, .abr, .accdb, .afi, .arw , .asm, .bkf, .c4d, .cab, .cbm, .cbu, .class, .cls, .cpp, .cr2, .crw, .csh, .csv, .dat, .dbx, .dcr, . dgn, .djvu, .dng, .doc, .docm, .docx, .dwfx, .dwg, .dxf, .exe, .fla, .fpx, .gdb, .gho, .ghs, .hdd, .html, .iso, .iv2i, .java, .key, .lcf, .lnk, .matlab, .max, .mdb, .mdi, .mrbak, .mrimg, .mrw, .nef, .odg, .ofx, .orf , .ova, .ovf, .pbd, .pcd, .pdf, .php, .pps, .ppsx, .ppt, .pptx, .pqi, .prn, .psb, .psd, .pst, .ptx, . pvm, .pzl, .qfx, .qif, .r00, .raf, .rar, .raw, .reg, .rw2, .s3db, .skp, .spf, .spi, .sql, .sqlite-journal, . stl, .sup, .swift, .tib, .txf, .u3d, .v2i, .vcd, .vcf, .vdi, .vhd, .vmdk, .vmem, .vmwarevm, .vmx, .vsdx, .wallet, .win, .xls, .xlsm, .xlsx, .zip.
Kaynak: enigmasoftware
Sonraki Okuma:Locky Fidye yazılımı 'Ölümden Dönüş'
Tüm bu fidye yazılımı saldırıları, korunmak ve farkında olmak için bir alarmdır. Anonim kaynaklardan gelen ve emin olmadığımız e-postaları açmaktan kaçınmalıyız. E-postayla aldığımız tüm ekleri açmamalıyız. Ayrıca güvenlik açısından m'nize güncellenmiş bir anti-virüs yüklenmelidir. makine.
Okunma: 0
