“Një email i vetëm spear-phishing që mbart një malware paksa të ndryshuar mund të anashkalojë zgjidhjet e sigurisë së ndërmarrjeve shumë milionëshe nëse një kundërshtar mashtron një punonjës kibernetik apatik që të hapë bashkëngjitjen ose të klikojë një lidhje me qëllim të keq dhe në këtë mënyrë të komprometojë të gjithë rrjetin .”
James Scott, anëtar i lartë, Instituti për Teknologjinë e Infrastrukturës Kritike
Javën e kaluar, një Ransomware i quajtur Defray synonte një grup të përzgjedhur organizatash elitare që kërkonin 5000 dollarë me infeksion. Është një kodues skedari Trojan i shkruar në C++ i cili përdor algoritëm të avancuar kriptografik.
Duhet lexuar: Mënyra të ndryshme për të mbrojtur kompjuterin tuaj kundër ransomware
Emri Defray. bazohet në hostin e serverit komanda dhe kontrolli në sulmin e parë të gjurmuar: 'defrayable-listings'.
Njihet gjithashtu me një emër tjetër Glushkov Ransomware. Emri mund të përdoret si referencë për llogaritë e postës elektronike "[email të mbrojtur]", "glushkov®tutanota.de" dhe "[email të mbrojtur]" që përdoren për të përhapur kërcënimin dhe përdoren për të kontaktuar hakerin.
Ai shpërndante dy sulme të vogla dhe selektive dhe njihet si kërcënim i madh i kriptove. kërcënimi po krahasohet me llojet Petya dhe WannaCry.
Sipas raporteve, kërcënimi ka në shënjestër kryesisht rrjetin e spitaleve dhe institucioneve arsimore dhe enkriptimin e të dhënave.
Sulmet e para kishin për qëllim qëllimin e tyre. organizatat e kujdesit shëndetësor dhe arsimit, ndërsa institucionet e tjera të prodhimit dhe teknologjisë synonin.
Si po përhapet?
Img src: gbhackers
Instaluesi i përdorur për të përhapur malware-in po përdor një dokument Word i cili përmban një videoklip të ekzekutueshëm të integruar (objekt i guaskës së paketuesit O LE).
Kur marrësi përpiqet të luajë atë të integruar. video, e cila është një imazh, Defray Ransomware instalohet dhe aktivizohet. Pas instalimit, ai fillon të enkriptojë të dhënat dhe më pas shfaq një shënim shpërblese, duke deklaruar se për të rifituar aksesin duhet të paguani shpërblim.
Emailet e phishing dhe emailet e synuara të phishing me shtizë përdoren për të tërhequr punonjësit e zyrës dhe më pas ata detyrohen të bëjnë shpërblesë. lexoni dokumentin e infektuar. Email-et u drejtohen individëve ose grupeve dhe përbëhet nga mesazhe të krijuara posaçërisht për të joshur objektivat.
Fushata u zhvillua për herë të parë më 15 gusht duke synuar profesionistët e prodhimit dhe teknologjisë. Në vazhdim më 22 gusht, një tjetër fushatë Emailet e lëshuara dhe të rreme iu dërguan organizatave të kujdesit shëndetësor dhe arsimor. Ky email përmbante raportin e pacientit nga një drejtor i supozuar i Menaxhimit të Informacionit dhe Teknologjisë në një spital.
Img src: Proofpoint
Këto emaile false japin ftesë të hapur për malware dhe ai instalohet në makina. Është njësoj si të mirëpres një Vampir në shtëpinë tënde dhe më pas ta lejosh të marrë gjakun tënd.
Duhet të lexoni: Çfarë duhet të bëni dhe të mos bëni kur keni të bëni me Ransomware
Pas gjithë kësaj, një shënim shpërblesëje shfaqet në desktopin tuaj, viktimës i kërkohet të paguajë 5000 dollarë në formë Bitcoin.
Shënimi i shpërblimit mund të gjendet në dy skedarë të quajtur "Files.TXT" dhe "HELP". TXXR' dhe përfundon:
“Ky është ransomware i zhvilluar me porosi, dekriptuesi nuk do të bëhet nga një kompani antivirus. Ky nuk ka as emër. Ai përdor AES-256 për enkriptimin e skedarëve, RSA-2048 për ruajtjen e fjalëkalimit të koduar AES-256 dhe SHA-2 për ruajtjen e integritetit të skedarit të koduar. Është shkruar në C++ dhe ka kaluar shumë teste të sigurimit të cilësisë. Për ta parandaluar këtë herën tjetër, përdorni kopje rezervë jashtë linje.”
Burimi: tripwire
Defray Ransomware enkripton skedarët me shtesat e mëposhtme:
.001, .3ds, .7zip, .MDF, .NRG, .PBF, .SQLITE, .SQLITE2, .SQLITE3, .SQLITEDB, .SVG, .UIF, .WMF, .abr, .accdb, .w, . , .asm, .bkf, .c4d, .cab, .cbm, .cbu, .class, .cls, .cpp, .cr2, .crw, .csh, .csv, .dat, .dbx, .dcr, . dgn, .djvu, .dng, .doc, .docm, .docx, .dwfx, .dwg, .dxf, .exe, .fla, .fpx, .gdb, .gho, .ghs, .hdd, .html, .iso, .iv2i, .java, .key, .lcf, .lnk, .matlab, .max, .mdb, .mdi, .mrbak, .mrimg, .mrw, .nef, .odg, .ofx, .orf , .ova, .ovf, .pbd, .pcd, .pdf, .php, .pps, .ppsx, .ppt, .pptx, .pqi, .prn, .psb, .psd, .pst, .ptx, . pvm, .pzl, .qfx, .qif, .r00, .raf, .rar, .raw, .reg, .rw2, .s3db, .skp, .spf, .spi, .sql, .sqlite-journal, . stl, .sup, .swift, .tib, .txf, .u3d, .v2i, .vcd, .vcf, .vdi, .vhd, .vmdk, .vmem, .vmwarevm, .vmx, .vsdx, . .win, .xls, .xlsm, .xlsx, .zip.
Burimi: enigmasoftware
Lexo më tej: Locky Ransomware 'Back from the Dead'
Të gjitha këto sulme ransomware janë një alarm për të qëndruar të mbrojtur dhe të vetëdijshëm. Duhet të shmangim hapjen e emaileve të marra nga burime anonime dhe të atyre që nuk jemi të sigurt. Ne nuk duhet të hapim të gjitha bashkëngjitjet që marrim në një email. Gjithashtu nga pikëpamja e sigurisë një antivirus i përditësuar duhet të instalohet në m tuaj makinë.
Lexo: 0
