Mobilné Správy, Gadgety, Blogy's Secenziami

Ruskí hackeri šíria VegaLocker Ransomware pomocou hromadných reklamných kampaní

VegaLocker je známy ako hrozba ransomware, ktorá bola prvýkrát zaznamenaná 11. februára 2019, keď narazila na web a prihlásila sa k svojim prvým kybernetickým obetiam. V tom čase nikto nemohol predpovedať, že sa bude javiť ako taká pretrvávajúca hrozba. Škodlivá infekcia nielenže prežila, ale aj prosperovala, pretože vyvolala celý rad variácií kódu. Z dôvodu aplikácie VegaLocker boli používatelia webových stránok zasiahnutí hrozbami ransomware Jumper (Jamper), Buran a Zeppelin. Tieto infekcie boli spôsobené kódom VegaLocker.

Kybernetickí zločinci, ktorí stoja za pôvodnou hrozbou, ju neustále modifikovali, vylepšovali a dávali jej rôzne mená, aby mohli naďalej trápiť používateľov internetu. V dôsledku týchto úprav sa VegaLocker ransomware javí ako zložitý pre odborníkov na bezpečnosť. Akonáhle prídu s metódou boja proti hroznej infekcii, dostane aktualizácie a „sa vyvíja“ a infikuje systém po systéme. VegaLocker neustále mení a vylepšuje svoj kód. Neustále upravuje svoju výkonnosť. A zakaždým, keď sa odborník na malware dostane príliš blízko k riešeniu hrozby, hackeri za ním aktualizujú a zlepšujú sa. A ak to bude potrebné, rebrand. Koniec koncov, takto vznikli Jumper (Jamper), Buran a Zeppelin.

Analýza VegaLocker

Hackeri za ransomware ho naprogramovali v jazyku Delphi. To samo o sebe predstavuje prekážku pri riešení hrozby VegaLocker – je ťažké tento jazyk pozmeniť.

Infekcia je fúziou rôznych vírusov. Obsahuje prvky z množstva rôznych hrozieb. Napríklad v kóde VegaLocker sa našiel zvyškový kód z rodiny Scarab ransomware. Zdrojový kód bol zdieľaný so známymi infekciami, ako napríklad Amnézia a Gloverabe2. Tento objav môže znamenať jednu z dvoch vecí: buď ten istý človek, ktorý tieto hrozby vytvoril, vytvoril VegaLocker pomocou rovnakého kódu ako základňu a plánuje ich použitie pre seba, alebo si vytvorili ransomware VegaLocker ako vlastnú objednávku pre rôznych hackerov.

Ako sa VegaLocker vkĺzol do vášho systému?

Výskumníci v oblasti bezpečnosti vykonali analýzu hrozby a zistili, že začína modulom obtoku zabezpečenia. Tento modul zaisťuje kontrolu lokálneho systému, či neobsahuje akékoľvek známky bezpečnostných programov a motorov, čo môže blokovať bežné vykonávanie aplikácie VegaLocker.

Hľadá podpisy nasledujúcich motorov:

Habbo, Rebhip, Qt Company Ltd, Microsoft Corporation, Delphi knižnice, SMART INSTALL MAKER, InnoSetup, James Jackson-South, Microsoft Visual C / C ++ knižnice, libczmq3, Adobe Systems Incorporated, Mercury Interactive, NSIS, Splinterware Software Solutions a StockSharp LLC ,

Ak nájde čokoľvek, čo považuje za problematické, zakáže alebo odstráni. Po dokončení tohto prvého kroku sa začne zaoberať úpravami možností zavádzania. VegaLocker prekonfiguruje konfiguračné súbory operačného systému a vytvorí ich, takže vírusový súbor sa spustí hneď po zapnutí počítača. Ak chcete spevniť jeho priľnavosť k možnostiam zavádzania, zakáže prístup k možnostiam a ponukám zavádzania obnovy. To bráni pokusom používateľa o manuálne obnovovacie príručky.

VegaLocker sa nezastaví iba zakázaním prístupu. Odstráni tiež dôležité údaje z vášho systému. Zameriava sa na údaje používané operačným systémom – zálohy, body obnovenia systému, kópie tieňového zväzku. VegaLocker je dosť dôkladný pri odstraňovaní všetkého, čo považuje za prekážku pri svojom útoku.

Známe infekcie sa vyhýbajú detekcii za každú cenu – niekedy dokonca za cenu vlastného vymazania. Ransomware nasleduje programovanie, aby sa vyhlo hostiteľom virtuálnych strojov. Ako? Pravidelne monitoruje chod procesov stroja a hľadá známky reťazcov týkajúcich sa hypervizorov alebo dodatkov hostí. Ak nájde niečo, zastaví sa alebo sa dokonca zo stroja vymaže.

VegaLocker dokáže vaše dáta nielen šifrovať, ale aj extrahovať! Môže získať osobné a finančné informácie a potom ich použiť na škodlivé účely – krádež identity, finančné zneužitie, vydieranie. Ransomware sa tiež prelína s rôznymi nastaveniami systému. To upravuje vaše Windows Register a vytvára položky pre seba alebo upravuje už existujúce. Toto miešanie vedie k zhoršeniu výkonu vášho systému. Trpíte oneskorením, chybami, upozorneniami a varovnými oknami. Ransomware je obvyklý M.O. znamená spôsobiť vážne problémy s výkonom vášho systému. Týmto spôsobom bude váš počítač takmer nepoužiteľný, pokiaľ bude infekcia na palube.

textová poznámka vegalocker ransomware Obrázok VegaLocker Ransomware výkupného textového súboru

Zásah VegaLockera do infikovaných systémov je dosť rozsiahly. Ransomware engine vyhľadáva aktívnu službu konfigurácie vzdialenej pracovnej plochy. Ak už bol taký súbor vytvorený, ransomware k nemu pristúpi a upraví ho. Pridáva poverenia, ktoré môžu hackeri potom použiť. To nie je krok, ktorý podnikajú všetky hrozby ransomware. O tom, že to robia a potom využívajú, sú známe iba tie pokročilé, ako VegaLocker. Môžu do vášho počítača nainštalovať ďalšie škodlivé hrozby, napríklad trójske kone. Alebo môžu dokonca povoliť kryptomenný baník na vašom počítači a nielen vás vydierať za peniaze, ale aj zarobiť peniaze zo zdrojov vášho počítača. Horník môže prísť v nespočetných formách, ako je kód pripojený k iným súborom, alebo ako samostatná aplikácia. Akonáhle ho vykonáte alebo uzákoníte, budete cítiť následky jeho pobytu. Vyžaduje si mýto na komponentoch, ako sú pamäť, CPU alebo GPU a miesto na pevnom disku.

Odborníci v oblasti bezpečnosti dospeli k záveru, že technika primárnej distribúcie spoločnosti VegaLocker spočíva v použití kampaní proti reklame. To je najjednoduchší spôsob hromadnej distribúcie s minimálnym úsilím. Hackeri za touto infekciou uvoľnia nespočetné množstvo škodlivých e-mailov s nevyžiadanou poštou, ktoré obsahujú odkaz, na ktorý sa zobrazí výzva na kliknutie, alebo prílohu, ktorú si môžete stiahnuť. Ak prepadnete týmto taktikám, skončíte na palube nepríjemnou počítačovou hrozbou.

Prirodzene existuje viac ako jeden spôsob invázie, na ktorý sa ransomware môže uchýliť. Môže sa tiež dostať cez infikované inštalátory aplikácií. Počítačoví zločinci si vyberajú obľúbený softvér, ktorý generuje veľa stiahnutí používateľmi. Potom vložili inštalačné skripty do inštalačných súborov uvedeného softvéru. Spravujú tento podvod pomocou prevzatia pôvodných súborov od dodávateľov softvéru a následným škodlivým pridaním.

Ďalšou životaschopnou možnosťou infiltrácie sú infikované dokumenty – tabuľky, prezentácie, databázy atď. Inštalačný kód ransomware sa stáva súčasťou makier, ktoré sú do nich vložené. Po otvorení dokumentu sa objaví správa s požiadavkou na jeho povolenie. Ak tak urobíte, máte na rukách ransomware VegaLocker.

VegaLocker sa tiež môže dostať cez falošné užívateľské profily. S neustále rastúcim využívaním sociálnych médií sa to ukazuje ako pomerne účinná invazívna metóda. Príspevky na komunitných fórach, priame správy zasielané veľkému počtu ľudí a použité profily môžu byť falošné alebo skutočné, ktoré boli napadnuté hackermi. Keď na obrazovke vidíte odkaz so správou, buďte vždy opatrní, „kliknite na ňu“. Ostražitosť je váš priateľ.

Čo sa stane, keď VegaLocker napadne?

Akonáhle ransomware vstúpi do vášho systému, to zasiahne. Svoj útok vykonáva pomocou silných šifrovacích algoritmov. Má vstavaný cieľový zoznam rozšírení, ktoré sa majú zamknúť.

  • zálohy
  • archív
  • databázy
  • snímky
  • hudba
  • videá
  • Zoznam prípon typov súborov VegaLocker

    Ak si myslíte, že budete mať dôležité súbory, ktoré sa vám podarí vyhnúť šifrovaniu, mýlite sa. Cieľový zoznam ransomware je rozsiahly.

    .jpg, .jpeg, .raw, .tif, .gif, .png, .mpt, .3dm, .max, .accdb, .db, .dbf, .mdb, .dd, .sl, .dwg, .dxf , .cpp, .cs, .h, .php, .asp, .rb, .java, .jar, .class, .py, .s, .aaf, .aep, .ep, .plb, .prel,. prproj, .p, .pp, .psd, .indd, .indl, .indt, .indb, .xx, .idml, .pmd, .qq. .xqx, .ai, .eps, .ps, .svg, .swf, .fla, .as3, .as, .txt, .doc, .dot, .docx, .docm, .dotx, .dotm, .docb, .rtf, .wpd, .ps, .msg, .pdf , .xls, .xlt, .xlm, .xlsx, .xlsm, .ltlt, .xltm, .xlsb, .xla, .xlam, .ll, .xlw, .ppt, .p, .pps, .pptx,. pptm, .px, .pm, .ppam, .ppsx, .ppsm, .sldx, .ldm, .wav, .mp3, .if, .iff, .m3u, .m4u, .mid, .mpa,. .ra, .avi, .mov, .mp4, .3gp, .peg, .3g2, .asf, .asx, .flv, .mpg, .wmv, .ob, .m3u8, .dat, .csv, .efx. , .sdf, .vcf, .xml, .ses, .qbw, qbb, .qm, .qbi, .qbr, .cnt, .des, .30, .qbo, .ini, .lbb, .wc,. qbp, .aif, .qba, .tlg, .qx, .qby, .pa, .pp, .txt, .set, .iif,., .rtp, .gg, .wav, .qsm, .qss, .q, .fx, .fx1, .mx0, .fpx, .fxr, .fim, .ptb, .ai, .pfb, .ggn, .vsd,. cdr, .cmx, .pt, .cs, .cur, .des, .ds, .ds4, .drw, .eps, .ps, .prn, .gif, .pcd, .pct, .pcx, .plt , .rif, .svg, .swf, .tga, .tiff, .psp, .ttf, .wpd, .wpg, .wi, .raw, .wmf, .txt, .cal, .cpx, .shw,. clk, .cdx, .cdt, .fpx, .fmv, .gm, .gem, .ccf, .pic, .mac, .met, .pp, .pp5, .pp, .ap, .pat, .ps, .prn, .sct, .vsd, .wk3, .wk4, .xpm, .zip, .rar.

    Súbory VegaLocker ransomware sa pri svojom útoku zameriavajú

    Akonáhle infekcia uzamkne vaše údaje, bude to vyžadovať výkupné. VegaLocker ponechá výkupné na pracovnej ploche a vo všetkých postihnutých priečinkoch. Je to textový súbor s názvom „O vašich súboroch.TXT“ alebo „Vaše súbory sú teraz zašifrované.txt.“

    https://sensorstechforum.com/wp-content/uploads/2019/02/vegalocker-ransomware-image-senesorstechforum-com.jpg

    VegaLocker výkupné, zdroj: sensorstechforum.com.

    Text výkupného je nasledovný:

    ВНИМАНИЕ, ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ! Ваши документы, фотографии, базы данных, сохранения в играх и другие важные данные были зашифрованы уникальным ключем, который находится только у нас. Для восстановления данных необходим дешифровщик. Восстановить файлы Вы можете, написав нам на почту: * e-mail: [email protected], [email protected] * резервный e-mail: [email protected]@cs.cs. 1-2 файла, размером до 1 Мб каждый. Мы их восстановим, в доказательство возможности расшифровки. После демонстрации вы получите инструкцию по оплате, а после оплаты Вам будет отправлена ​​программа-дешифратор, которая полностью восстановит все заблокированные файлы без потерь. Если связаться через почту не получается: * Перейдите по ссылке: hxxps: //bitmessage.org/wiki/Main_Page и скачайте тол. Установите почтовый клиент и создайте себе новый адрес для отправки сообщений. * Напишите нам письмо на адрес: BM-2cVK1UBcUGmSPDVMo8TN7eh7BJG9jUVrdG (с указанием Вашей почты) и мым сва Вяс. ВАЖНО! * Расшифровка гарантируется, если Вы свяжетесь с нами в течении 72 часов. * Выключение или перезагрузка компьютера может привести к потере Ваших файлов. * Не пытайтесь удалить программу или запускать антивирусные средства. * Попытки самостоятельной расшифровки файлов приведут к потере Ваших данных. * Дешифраторы других пользователей несовместимы с Вашими данными, так как у каждого пользователя уник учикалька икалька кальная Убедительная просьба писать людям, которые действительно заинтересованы в восстановлении файлов. Не следует угрожать и требовать дешифратор. Eалобами заблокировав e-mail, Вы лишаете возможности расшифровать свои файлы остальных. —– ZAČIATOK TOKEN —– – —– END TOKEN —–

    Ako vidíte, poznámka je v ruštine. Že náznaky možného ruského pôvodu tvorcov ransomware, alebo aspoň to, že rusky hovoriace krajiny sú ich hlavným cieľom.

    Anglický preklad je nasledujúci:

    POZOR, SÚ VAŠE SÚBORY SÚ UVEDENÉ! Vaše dokumenty, fotografie, databázy, ukladanie hier a ďalšie dôležité údaje boli šifrované jedinečným kľúčom, ktorý máme. Na obnovenie údajov potrebujete dešifrovač. Súbory môžete obnoviť tak, že nás napíšete na e-mail: e-mail: [email protected] e-mail: [email protected] Pošlite nám svoj identifikačný token a 1-2 veľkosť súborov by nemala byť väčšia ako 1 MB, Obnovíme ich, aby sme dokázali, že je k dispozícii dešifrovanie. Po demonštrácii dostanete platobné pokyny a po zaplatení dostanete dešifrovací program, ktorý úplne bez problémov obnoví vaše súbory. AK sa k nám nemôžete dostať e-mailom: Prejdite na webovú stránku: https://bitmessage.org/wiki/Main_Page a stiahnite si e-mailového klienta. Spustite e-mailového klienta a vytvorte adresu. Pošlite nám e-mail na adresu: BM-2cVK1UBcUGmSPDVMo8TN7eh7BJG9jUVrdG (vrátane vašej adresy) a my vás budeme kontaktovať.

    Zdroj pre preklad: www.enigmasoftware.com.

    Kybernetickí vydierači tvrdia, že jediný spôsob, ako sa zbaviť šifrovania, je jedinečný kľúč. Kľúč, ktorý je pre každú obeť odlišný a je uložený na vzdialenom serveri. Jediným spôsobom, ako sa na to dostať, je preto dodržať, zaplatiť výkupné a dúfať, že títo ľudia zachovajú svoje slovo a pošlú vám ho. Ale nemáte žiadne záruky, že áno. Koniec koncov, sú to únoscovia škodlivých údajov, ktorí vás vydierajú za peniaze. Prečo by sa o vás zaujímali potom, čo dostanú vaše peniaze?

    Presné výkupné, ktoré požaduje VegaLocker, nie je zatiaľ známe. Ak to chcete vedieť, musíte hackerov kontaktovať prostredníctvom e-mailu a jeden vám pošle späť s podrobnejšími pokynmi o tom, čo sa od vás očakáva. Dostali ste dokonca lehotu na zvýšenie tlaku na vaše rozhodovanie. Počítačoví zločinci hrozia, že odstránia váš jedinečný dešifrovací kľúč, ak sa nedostanete do prvých 72 hodín po šifrovaní. Odborníci v oblasti bezpečnosti proti tomu neodporúčajú. Nesiahajte, nevyhovujte a neplatite výkupné. Nedodržiavajte ich pokyny, pretože je pravdepodobné, že znova získate kontrolu nad svojimi údajmi, zatiaľ čo šance na plytvanie peniazmi, časom a energiou sú s nimi značné.

    Príspevok ruských hackerov šíri VegaLocker Ransomware s kampaňami hromadného ničenia sa na Cyclonis objavil ako prvý.