Sigma Ransomware uus variant | Kohtukutse hirmutamise kasutajatele Venemaal

Lugemisaeg: 5 protokoll

Kas oleksite hirmul või vähemalt mures, kui leiate oma meilikastist kohtukutse USA ringkonnakohtusse? Enamik inimesi kindlasti teeks. Täpselt sellega arvestasid pahatahtlikud ründajad, kui viisid läbi selle ulatusliku rünnaku Venemaal asuvatelt IP-delt keeruka ja kavala lunavara kasuliku koormusega.

Sotsiaalne manipuleerimine: võltsitud autoriteet põhjustavad tõelist hirmu

3582 kasutajat said selle pahatahtliku meili sihtmärgiks, mis oli maskeeritud kui Ameerika Ühendriikide ringkonnakohtu kutse.

Nagu näete, koosneb e-kiri tervest hunnikust sotsiaalse manipuleerimise nippidest, et veenda kasutajaid pahatahtlikku manust avama. Peamiselt püüavad kurjategijad ohvritega manipuleerimiseks mängida hirmu, autoriteedi ja uudishimu emotsionaalsetel nööridel. Selle emotsionaalsest erutunud seisundist vastuvõtjate meeltesse paigaldamine on suunatud nende kriitilise mõtlemise võime allasurumisele ja tormakale tegutsemisele.

Samuti on saatja meiliaadress "uscourtgove.com", mis on loomulikult võltsitud, kuid lisab meilile usaldusväärsust. Manuse parooli olemasolu tugevdab kirja tugevust. Meili teema on "megaloman" ja lisatud dokument kannab nime "scan.megaloman.doc" ning see vaste lisab ka veidi usaldusväärsust. Kirsiks tordil on ohvri ähvardamine vastutusega, kui ta "ei tee midagi, see on teiega seotud" (ja ainus viis seda teada saada, on avada manuses olev fail).

See ülespuhutav manipuleeriv kokteil on võimas tööriist, mis aitab kurjategijatel saada seda, mida nad tahavad. Seega on paljude inimeste oht selle pettuse ohvriks langeda väga suur.

Nüüd vaatame, mis juhtub, kui kasutaja avab manuses oleva faili.

Pahavara: esmalt peidab end, siis tabab

Muidugi pole sellel kohtukutse esitamisega midagi ühist. Tegelikkuses nagu Comodo ohuuuringute laborid analüütikud avastasid, et tegemist on kavala ja keeruka Sigma lunavara uue variandiga, mis krüpteerib nakatunud masinas olevad failid ja pressib välja lunaraha nende dekrüpteerimiseks.

Kuidas Sigma lunavara töötab:

Selle Sigma uue variandi eripära on see, et see nõuab kasutajalt parooli sisestamist. Ee... pahavara parool? See võib kõlada veidralt, kuid tegelikkuses on sellel selge eesmärk: ründevara suurem hägusus tuvastamisest.

Kuid isegi kui kasutaja sisestab parooli, ei käivitu faili kohe. Kui makrod on ohvri masinas välja lülitatud, palub see veenvalt need välja lülitada. Pange tähele, kuidas see nõue sobib kogu ründajate strateegiaga: kui see on kohtu sõnum, võib see kindlasti olla kaitstud dokument, eks?

Kuid tegelikult sisaldab fail pahatahtlikku VBScripti, mis tuleb käivitada, et alustada pahavara installimist ohvri arvutisse. See laadib ründajate serverist alla järgmise osa pahavarast, salvestab selle %TEMP% kausta ja maskeerib selle exe töötleb ja viib selle ellu. See exe toimib tilgutajana, et laadida alla veel üks pahavara osa. Seejärel viib see üsna pika toimingute ahela kaudu – jällegi tugevama segamise huvides – lõpule pahatahtliku kasuliku koormuse ja käivitab selle.

Pahavara näeb tõesti muljetavaldav oma mitmesuguste nippidega, mida varjata ja avastamist vältida. Enne käivitamist kontrollib see keskkonda virtuaalmasina või liivakastide jaoks. Kui see sellise tuvastab, tapab pahavara end ise. See maskeerib oma pahatahtlikud protsessid ja registrikirjed seaduslikeks, nagu "svchost.exe" ja "chrome". Ja see pole veel kõik.

Erinevalt mõnest selle lähedasest ransomware sugulased, Sigma ei tegutse kohe, vaid varitseb ja teeb esmalt varjatud luuret. See loob väärtuslike failide loendi, loendab need ja saadab selle väärtuse oma C&C serverisse koos muu teabega ohvri masina kohta. Kui faile ei leitud, kustutab Sigma end lihtsalt. Samuti ei nakata see arvutit, kui saab teada, et selle riigi asukoht on Venemaa Föderatsioon või Ukraina.

Keeruline on ka pahavaraühendus selle käsu- ja juhtimisserveriga. Kuna server on TOR-põhine, teeb Sigma järgmisi samme:

1. Laadige alla TOR-tarkvara, kasutades seda linki: https://archive.torproject.org/tor-package-archive/torbrowser/7.0/tor-win32-0.3.0.7.zip
2. Salvestab selle kausta %APPDATA% kui System.zip
3. Pakkige see lahti kausta %APPDATA%MicrosoftYOUR_SYSTEM_ID
4. Kustutab System.zip
5. Nimetab Tortor.exe ümber svchost.exe-ks
6. Teostab selle
7. Ootab veidi ja saadab oma päringu

Ja alles pärast seda hakkab Sigma ohvri masinas faile krüptima. Seejärel jäädvustab lunaraha mürgitatud masina ekraani.

Ja … finita la commedia. Kui ohver pole varem varukoopiaid tegema leppinud, lähevad tema andmed kaotsi. Neid ei saa kuidagi taastada.

Kaitse: kuidas tagasi võidelda

"Mõlemalt nii keeruka pahavara, sotsiaalse inseneri trikkide ja tehnilise disainiga silmitsi seismine on raske väljakutse isegi turvateadlikele kasutajatele," ütleb Comodo juht Fatih Orhan. Ohuuuringute laborid. "Selliste kavalate rünnakute eest kaitsmiseks peab teil olema midagi usaldusväärsemat kui lihtsalt inimeste teadlikkus. Sel juhul peab reaalne lahendus andma 100% garantii, et teie vara ei saa kahjustada isegi siis, kui keegi võtab kelmide õnge ja käivitab pahavara.

Just see on eksklusiivne Comodo automaatse piiramise tehnoloogia annab meie klientidele: kõik saabuvad tundmatud failid paigutatakse automaatselt turvakeskkonda, kus seda saab käivitada ilma ühegi võimaluseta hosti, süsteemi või võrku kahjustada. Ja see jääb sellesse keskkonda seni, kuni Comodo analüütikud on seda uurinud. Sellepärast pole keegi Comodo klientidest selle alatu rünnaku all kannatanud.

Ela turvaliselt koos Comodo!

Allpool on ründes kasutatud soojuskaart ja IP-d

Rünnak viidi läbi 32 Venemaal asuvast (Sankt-Peterburi) IP-st e-posti teel Kristopher.Franko@uscourtsgov.com milline domeen loodi tõenäoliselt spetsiaalselt rünnaku jaoks. See algas 10. mail 2018 kell 02:20 UTC ja lõppes kell 14:35 UTC.

Lunavara rünnakud

Lunavara kaitse tarkvara

ALUSTA TASUTA KATSET HANKIGE TASUTA OMA INSTANT TURVAKARTI

• SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
• PlatoData.Network Vertikaalne generatiivne Ai. Jõustage ennast. Juurdepääs siia.
• PlatoAiStream. Web3 luure. Täiustatud teadmised. Juurdepääs siia.
• PlatoESG. Süsinik, CleanTech, Energia, Keskkond päikeseenergia, Jäätmekäitluse. Juurdepääs siia.
• PlatoTervis. Biotehnoloogia ja kliiniliste uuringute luureandmed. Juurdepääs siia.
• Allikas: https://blog.comodo.com/pc-security/subpoena-new-variant-of-sigma-ransomware/