Óvakodjon az új Tycoon ransomware-től, amely Windows PC-ket céloz meg
2 perc olvas
Publikálva
Olvassa el közzétételi oldalunkat, hogy megtudja, hogyan segítheti az MSPowerusert a szerkesztői csapat fenntartásában Tovább
Az FBI Internet Crime Complaint Center (IC3) tavaly közzétette az „Internet Crime Report”-t. A jelentés feltárta, hogy a kiberbűnözés 3.5 milliárd dollárba (2.7 milliárd GBP) került 2019-ben. A támadók zsarolóprogramokat használnak arra, hogy pénzt szerezzenek ki vállalkozásoktól és egyéni felhasználóktól. A BlackBerry biztonsági kutatóegysége nemrégiben fedezett fel egy új zsarolóprogramot, amely egy európai oktatási intézményt érintett. A legtöbb eddig felfedezett zsarolóvírustól eltérően ez az új zsarolóprogram-modul Java képfájl formátumba (JIMAGE) van fordítva. A JIMAGE egy olyan fájlformátum, amely egyedi JRE-képeket tárol, amelyeket a Java Virtual Machine (JVM) futás közbeni használatra terveztek.
Így történt a támadás:
- Az áldozat gépén való kitartás érdekében a támadók az Image File Execution Options (IFEO) injekciós technikát alkalmazták. Az IFEO beállítások a Windows rendszerleíró adatbázisában tárolódnak. Ezek a beállítások lehetőséget adnak a fejlesztőknek, hogy a célalkalmazás végrehajtása során egy hibakereső alkalmazás csatolásával végezzék el a szoftverüket.
- Ezután egy hátsó ajtót hajtottak végre az operációs rendszer Microsoft Windows On-Screen Keyboard (OSK) funkciója mellett.
- A támadók a ProcessHacker segédprogram használatával letiltották a szervezet kártevőirtó megoldását, és megváltoztatták az Active Directory szerverek jelszavait. Ezáltal az áldozat nem tud hozzáférni rendszereihez.
- A legtöbb támadó fájl időlenyomata volt, beleértve a Java-könyvtárakat és a végrehajtási szkriptet is, és a fájldátum időbélyegei 11. április 2020., 15:16:22
- Végül a támadók végrehajtották a Java ransomware modult, amely titkosította az összes fájlszervert, beleértve a hálózathoz kapcsolódó biztonsági mentési rendszereket is.
A ransomware-hez társított zip-fájl kibontása után három modul található a „mágnás” nevében. Tehát a Blackberry csapata iparmágnásnak nevezte el ezt a ransomware-t. Tekintse meg alább az iparmágnás váltságdíját.
Erről a ransomware-ről további részleteket az alábbi linken találhat.
Forrás: Földi szeder