Varo tätä uutta Tycoon-lunnasohjelmaa, joka on kohdistettu Windows-tietokoneisiin

Koti » Microsoft

Lukuajan kuvake 2 min. lukea

Kalenterikuvake Julkaistu

by Pradeep Viswav 

Julkaistu

Jaa tämä artikkeli

Lukijat auttavat tukemaan MSpoweruseria. Saatamme saada palkkion, jos ostat linkkien kautta. Työkaluvihje-kuvake

Lue ilmoitussivumme saadaksesi selville, kuinka voit auttaa MSPoweruseria ylläpitämään toimitustiimiä Lue lisää

Microsoft Ransomware

ransomware

FBI:n Internet Crime Complaint Center (IC3) julkaisi viime vuonna Internet Crime Report -raportin. Raportti paljasti, että kyberrikollisuus maksoi valtavat 3.5 miljardia dollaria (2.7 miljardia puntaa) vuonna 2019. Hyökkääjät käyttävät kiristysohjelmia rahan poimimiseen yrityksiltä ja yksittäisiltä käyttäjiltä. BlackBerryn turvallisuustutkimusyksikkö löysi äskettäin uuden kiristysohjelman, joka vaikutti eurooppalaiseen oppilaitokseen. Toisin kuin suurin osa tähän mennessä löydetyistä kiristysohjelmista, tämä uusi kiristysohjelmamoduuli on käännetty Java-kuvatiedostomuotoon (JIMAGE). JIMAGE on tiedostomuoto, joka tallentaa mukautettuja JRE-kuvia, jotka on suunniteltu Java Virtual Machine (JVM) -käyttöön ajon aikana.

Näin hyökkäys tapahtui:

  • Saavuttaakseen pysyvyyden uhrin koneessa hyökkääjät olivat käyttäneet tekniikkaa nimeltä Image File Execution Options (IFEO) -injektio. IFEO-asetukset tallennetaan Windowsin rekisteriin. Nämä asetukset antavat kehittäjille mahdollisuuden korjata ohjelmistonsa virheenkorjaussovelluksen liitteenä kohdesovelluksen suorittamisen aikana.
  • Sitten suoritettiin takaovi käyttöjärjestelmän Microsoft Windows On-Screen Keyboard (OSK) -ominaisuuden rinnalle.
  • Hyökkääjät poistivat organisaation haittaohjelmien torjuntaratkaisun ProcessHacker-apuohjelman avulla ja vaihtoivat Active Directory -palvelimien salasanat. Tällöin uhri ei pääse käsiksi järjestelmiinsä.
  • Suurin osa hyökkääjätiedostoista oli aikaleimaa, mukaan lukien Java-kirjastot ja suorituskomentosarja, ja niiden tiedostopäivämäärän aikaleimat olivat 11. huhtikuuta 2020, 15:16:22.
  • Lopuksi hyökkääjät suorittivat Java ransomware -moduulin, joka salasi kaikki tiedostopalvelimet, mukaan lukien varmuuskopiojärjestelmät, jotka olivat yhteydessä verkkoon.

Kiristysohjelmaan liittyvän zip-tiedoston purkamisen jälkeen "tycoonin" nimessä on kolme moduulia. Joten Blackberry-tiimi on nimennyt tämän kiristysohjelman tycooniksi. Katso tycoonin lunnaat alta.

Löydät lisätietoja tästä kiristysohjelmasta alla olevasta linkistä.

Lähde: Karhunvatukka

Lisää aiheista: JIMAGE, microsoft, ransomware, Windows 10

Pradeep Viswav

Pradeep Viswav Shield

Ohjelmisto- ja palveluasiantuntija

Pradeep on tietojenkäsittelytieteen ja tekniikan tutkinnon suorittanut. Hän oli myös Microsoft Student Partner. Tällä hetkellä hän työskentelee johtavassa IT-yrityksessä.