Sigma Ransomwaren uusi versio | Haaste Scare-käyttäjille Venäjällä

Lukuaika: 5 pöytäkirja

Olisitko peloissasi tai ainakin ahdistunut, jos olisit löytänyt haasteen Yhdysvaltain käräjäoikeudelle sähköpostilaatikostasi? Suurin osa ihmisistä varmasti. Juuri siihen haitalliset hyökkääjät laskivat, kun he tekivät tämän massiivisen hyökkäyksen Venäjältä peräisin olevista IP-osoitteista, joissa oli hienostunut ja ovela ransomware-hyötykuorma.

Sosiaalinen suunnittelu: väärennetty auktoriteetti aiheuttaa todellista pelkoa

Tämän "Yhdysvaltojen käräjäoikeuden" haasteena naamioidun haitallisen sähköpostin kohteeksi tuli 3582 käyttäjää.

Kuten näette, sähköposti koostuu koko joukosta sosiaalisen suunnittelun temppuja, jotka vakuuttavat käyttäjät avaamaan haitallisen liitteen. Lähinnä tekijät yrittävät leikkiä pelon, auktoriteetin ja uteliaisuuden tunneperäisillä keinoilla manipuloida uhreja. Tämän emotionaalisesti herättämän tilan asentaminen vastaanottimen mieleen on tarkoitettu tukahduttamaan heidän kykynsä kriittiseen ajatteluun ja saada heidät toimimaan röyhkeästi.

Lähettäjän sähköpostiosoite on myös “Uscourtgove.com”, joka on tietysti väärennetty, mutta lisää uskottavuutta sähköpostiin. Liitteen salasanan vahvistaminen vahvistaa postin vakautta. Sähköpostin aihe on "megaloman" ja liitteenä olevan asiakirjan nimi on "scan.megaloman.doc", ja tämä ottelu lisää myös pieniä kosketuksia uskottavuuteen. Ja uhrin uhkaaminen vastuulla, jos hän "ei tee sitä, on sidottu sinuun" (ja ainoa tapa saada selville on avata tiedosto liitteenä) on kakun kuorrutus.

Tämä räjäyttävä manipulatiivinen cocktail on tehokas työkalu, joka auttaa tekijöitä saamaan mitä haluavat. Joten monien ihmisten riski joutua tämän huijauksen uhriksi on erittäin suuri.

Katsotaan nyt, mitä tapahtuu, jos käyttäjä avaa tiedoston liitteenä.

Haittaohjelma: ensin piilottaa, sitten osuu

Sillä ei tietenkään ole mitään yhteistä haasteisiin. Todellisuudessa, kuten Comodo Threat Research Labs analyytikot löysivät, se on uusi muunnelma ovelasta ja hienostuneesta Sigma-lunnasohjelmasta, joka salaa tartunnan saaneen koneen tiedostot ja kiristää lunnaat salauksen purkamiseksi.

Kuinka Sigma ransomware toimii:

Sigman uudessa versiossa on erityistä, että se pyytää käyttäjää syöttämään salasanan. Hmm ... salasana haittaohjelmille? Se voi kuulostaa oudolta, todellisuudessa sillä on selkeä tarkoitus: enemmän haittaohjelmien hämärtymistä havaitsemisesta.

Mutta vaikka käyttäjä antaa salasanan, tiedosto ei käynnisty välittömästi. Jos makrot kytketään pois päältä uhrin koneessa, se pyytää vakuuttavasti sammuttamaan ne. Huomaa, miten tämä vaatimus sopii koko hyökkääjän strategiaan: jos kyseessä on tuomioistuimen viesti, se voi varmasti olla suojattu asiakirja, eikö?

Mutta todellisuudessa tiedosto sisältää haitallisen VBScriptin, joka on suoritettava, jotta haittaohjelma asennetaan uhrin tietokoneelle. Se lataa haittaohjelman seuraavan osan hyökkääjien palvelimelta, tallentaa sen% TEMP% -kansioon, naamioi sen svchost.exe prosessoi ja toteuttaa sen. Tämä svchost.exe toimii tiputtimena ladata yksi osa haittaohjelmista. Sitten melko pitkän toimintaketjun kautta - jälleen vahvemman hämärtymisen vuoksi - se täydentää haitallisen hyötykuorman ja suorittaa sen.

Haittaohjelma näyttää todella vaikuttavalta, sillä siinä on erilaisia ​​temppuja piilottamiseksi ja välttämiseksi. Ennen suoritusta se tarkistaa virtuaalikoneen tai hiekkalaatikoiden ympäristön. Jos se löytää yhden, haittaohjelma tappaa itsensä. Se peittää haittaohjelman ja rekisterimerkinnät oikeiksi, kuten “svchost.exe” ja “kromi”. Eikä siinä vielä kaikki.

Toisin kuin jotkut sen lähellä ransomware sukulaiset, Sigma ei toimi heti, vaan piileskelee ja tekee ensin salaisen tiedustelun. Se luo luettelon arvokkaista tiedostoista, laskee ne ja lähettää tämän arvon C & C-palvelimelle yhdessä muiden tietojen kanssa uhrin koneesta. Jos tiedostoja ei löydy, Sigma vain poistaa itsensä. Se ei myöskään tartuta tietokonetta, jos saa selville, että maan sijainti on Venäjän federaatio tai Ukraina.

Haittaohjelmayhteys sen Command-and-Control-palvelimeen on myös monimutkainen. Koska palvelin on TOR-pohjainen, Sigma toteuttaa vaiheet:

1. Lataa TOR-ohjelmiston tämän linkin avulla: https://archive.torproject.org/tor-package-archive/torbrowser/7.0/tor-win32-0.3.0.7.zip
2. Tallentaa sen tiedostoon% APPDATA% nimellä System.zip
3. Pura se tiedostoon% APPDATA% MicrosoftYOUR_SYSTEM_ID
4. Poistaa System.zip-tiedoston
5. Nimeä Tortor.exe uudelleen svchost.exe-tiedostoksi
6. Suorittaa sen
7. Odottaa jonkin aikaa ja lähettää pyynnön

Ja vasta sen jälkeen Sigma alkaa salata tiedostoja uhrin koneessa. Sitten lunnaat muistiinpanot kaapata myrkytetyn koneen näytön.

Ja… finita la commedia. Jos uhri ei ole aikaisemmin järjestänyt varmuuskopioiden tekemistä, hänen tiedot menetetään. Niitä ei ole mahdollista palauttaa.

Suojaus: miten taistella takaisin

"Molemmilta puolilta niin hienostuneen haittaohjelman, sosiaalisen suunnittelun temppujen ja teknisen suunnittelun kohtaaminen on vaikea haaste jopa turvallisuutta tunteville käyttäjille", sanoo Comodon johtaja Fatih Orhan Uhkatutkimuslaboratoriot. "Suojellaksesi tällaisilta ovelilta hyökkäyksiltä sinulla on oltava jotain luotettavampaa kuin vain ihmisten tietoisuus. Tässä tapauksessa todellisen ratkaisun on annettava 100% takuu siitä, että omaisuutesi ei vahingoitu, vaikka joku ottaisi roistojen syötin ja ajaisi haittaohjelmia.

Juuri niin yksinomainen Comodon automaattinen suojarakennustekniikka antaa asiakkaillemme: kaikki saapuvat tuntemattomat tiedostot asetetaan automaattisesti suojattuun ympäristöön, jossa ne voidaan suorittaa ilman yksittäisiä mahdollisuuksia vahingoittaa isäntää, järjestelmää tai verkkoa. Ja se pysyy tässä ympäristössä, kunnes Comodon analyytikot ovat tutkineet sen. Siksi kukaan Comodon asiakkaista ei ole kärsinyt tästä harhaanjohtavasta hyökkäyksestä.

Elää turvallisesti Comodo!

Alla on hyökkäyksessä käytetty lämpökartta ja IP-osoitteet

Hyökkäys tehtiin 32 Venäjällä sijaitsevasta (Pietari) IP-osoitteesta sähköpostista Kristopher.Franko@uscourtsgov.com mikä verkkotunnus todennäköisesti luotiin erityisesti hyökkäystä varten. Se alkoi 10. toukokuuta 2018 klo 02 UTC ja päättyi klo 20 UTC.

Ransomware hyökkäykset

Ransomware Protection -ohjelmisto

ALOITA ILMAINEN KOKEILU SAA VAKAA TURVALLISUUSKORTTI ILMAISEKSI

• SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
• PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
• PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
• PlatoESG. hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
• PlatonHealth. Biotekniikan ja kliinisten kokeiden älykkyys. Pääsy tästä.
• Lähde: https://blog.comodo.com/pc-security/subpoena-new-variant-of-sigma-ransomware/