Новый вариант программы-вымогателя Sigma | Повестка в суд пугает пользователей в России

Время чтения: 5 минут

Будете ли вы бояться или, по крайней мере, беспокоиться, если найдете в своем почтовом ящике повестку в окружной суд США? Большинство людей определенно будут. Это именно то, на что рассчитывали злоумышленники, когда проводили эту масштабную атаку с российских IP-адресов с изощренной и хитрой полезной нагрузкой вымогателей.

Социальная инженерия: поддельная власть вызывает настоящий страх

3582 пользователя стали объектами этой вредоносной электронной почты, замаскированной под повестку «Окружной суд США».

Как вы можете видеть, электронная почта состоит из целого ряда уловок социальной инженерии, чтобы убедить пользователей открыть вредоносное вложение. Главным образом, преступники пытаются сыграть на эмоциональных нитях страха, авторитета и любопытства, чтобы манипулировать жертвами. Установка этого эмоционально возбужденного состояния в умах получателей направлена ​​на то, чтобы подавить их способность критического мышления и заставить их действовать опрометчиво.

Также адрес электронной почты отправителя «Uscourtgove.com»что, конечно, подделка, но добавляет больше доверия к электронной почте. Наличие пароля для вложения усиливает аромат почты. Тема электронного письма - «megaloman», а прикрепленный документ - «scan.megaloman.doc», и это совпадение также добавляет немного правдоподобия. И угроза жертве ответственностью, если она «не справится с задачей, связана с вами» (и единственный способ выяснить это - открыть файл во вложении) - это глазурь на торте.

Этот взрывной манипулятивный коктейль - мощный инструмент, помогающий преступникам получить то, что они хотят. Таким образом, риск для многих людей стать жертвой этого мошенничества очень высок.

Теперь посмотрим, что произойдет, если пользователь откроет файл во вложении.

Вредоносная программа: сначала скрывается, затем попадает

Конечно, это не имеет ничего общего с повесткой в ​​суд. На самом деле, как Исследовательские лаборатории Comodo Аналитики обнаружили, что это новый вариант хитроумного и сложного вымогателя Sigma, который будет шифровать файлы на зараженной машине и вымогать выкуп, чтобы расшифровать их.

Как Sigma Ransomware функционирует:

Что особенного в этом новом варианте Sigma, так это то, что он просит пользователя ввести пароль. Эм ... пароль для вредоносных программ? Повсюду это может звучать странно, на самом деле это имеет ясную цель: еще больше запутать вредоносное ПО от обнаружения.

Но даже если пользователь введет пароль, файл не запустится сразу. Если макросы отключены на компьютере жертвы, он убедительно просит их отключить. Обратите внимание, как это требование вписывается в целую стратегию злоумышленников: если это сообщение суда, оно определенно может быть защищенным документом, верно?

Но на самом деле файл содержит вредоносный VBScript, который необходимо запустить, чтобы начать установку вредоносного ПО на компьютер жертвы. Он загружает следующую часть вредоносного ПО с сервера злоумышленников, сохраняет его в папку% TEMP%, маскирует его как svchost.exe обрабатывать и выполнять его. это svchost.exe действует как пипетка, чтобы загрузить еще одну часть вредоносного ПО. Затем через довольно длинную цепочку действий - опять же, для более сильного запутывания - он завершает вредоносную полезную нагрузку и запускает ее.

Вредоносная программа выглядит действительно впечатляюще благодаря множеству хитростей, позволяющих скрыть и избежать обнаружения. Перед запуском он проверяет среду на наличие виртуальных машин или песочниц. Если он обнаруживает один, вредоносная программа убивает себя. Он маскирует свои вредоносные процессы и записи реестра как легитимные, такие как «svchost.exe» и «chrome». И это еще не все.

В отличие от некоторых его близких вымогателей родственников, Сигма не действует немедленно, а сначала скрывается и проводит скрытую разведку. Он создает список ценных файлов, считает их и отправляет это значение на свой C&C сервер вместе с другой информацией о машине жертвы. Если файлы не найдены, Sigma просто удаляет себя. Также не заражает компьютер, если обнаруживает, что его страна нахождения - Российская Федерация или Украина.

Подключение вредоносного ПО к его командно-контрольному серверу также является сложным. Поскольку сервер основан на TOR, Sigma выполняет последовательность шагов:

1. Загрузите программное обеспечение TOR по этой ссылке: https://archive.torproject.org/tor-package-archive/torbrowser/7.0/tor-win32-0.3.0.7.zip
2. Сохраняет его в% APPDATA% как System.zip
3. Распакуйте его в% APPDATA% MicrosoftYOUR_SYSTEM_ID
4. Удаляет System.zip
5. Переименовывает Tortor.exe в svchost.exe.
6. Выполняет это
7. Ждет некоторое время и отправляет запрос

И только после этого Сигма начинает шифровать файлы на компьютере жертвы. Тогда выкуп записку захватит экран отравленной машины.

И… конечно же, коммуникация. Если жертва ранее не организовывала резервное копирование, ее данные теряются. Нет способа их восстановить.

Защита: как дать отпор

«Столкновение с такими сложными с обеих сторон вредоносными программами, уловками социальной инженерии и техническим дизайном - сложная задача даже для пользователей, заинтересованных в безопасности», - говорит Фатих Орхан, глава Comodo. Лаборатории исследования угроз, «Чтобы защититься от таких хитрых атак, нужно иметь что-то более надежное, чем просто осведомленность людей. В этом случае реальное решение должно дать 100% гарантию того, что ваши активы не пострадают, даже если кто-то нажерет мошенников и запустит вредоносное ПО.

Это именно то, что эксклюзив Технология автоматического сдерживания Comodo дает нашим клиентам: любой поступающий неизвестный файл автоматически помещается в безопасную среду, где он может быть запущен без единой возможности нанести вред хосту, системе или сети. И он останется в этой среде, пока аналитики Comodo не изучат его. Вот почему никто из клиентов Comodo не пострадал от этой хитрой атаки ».

Жить безопасно с Comodo!

Ниже приведены тепловая карта и IP-адреса, использованные при атаке.

Атака была проведена с 32 российских (Санкт-Петербург) IP-адресов из электронной почты Кристофер.Франко@uscourtsgov.com какой домен, скорее всего, был создан специально для атаки. Он начался 10 мая 2018 года в 02:20 UTC и закончился в 14:35 UTC.

Атаки вымогателей

Программное обеспечение для защиты от программ-вымогателей

НАЧАТЬ БЕСПЛАТНУЮ ИСПЫТАНИЕ ПОЛУЧИТЕ СВОЙ МОМЕНТ БЕЗОПАСНОСТИ БЕСПЛАТНО

• SEO-контент и PR-распределение. Получите усиление сегодня.
• PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
• ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
• ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
• ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
• Источник: https://blog.comodo.com/pc-security/subpoena-new-variant-of-sigma-ransomware/