Остерегайтесь этой новой программы-вымогателя Tycoon, нацеленной на ПК с Windows
2 минута. читать
Опубликовано
Прочтите нашу страницу раскрытия информации, чтобы узнать, как вы можете помочь MSPoweruser поддержать редакционную команду. Читать далее
Центр жалоб на преступления в Интернете ФБР (IC3) в прошлом году опубликовал «Отчет о преступлениях в Интернете». В отчете показано, что в 3.5 году киберпреступления обошлись в огромные 2.7 миллиарда долларов (2019 миллиарда фунтов стерлингов). Злоумышленники используют программы-вымогатели для извлечения денег из предприятий и отдельных пользователей. Исследовательский отдел BlackBerry недавно обнаружил новую программу-вымогатель, поразившую европейский образовательный институт. В отличие от большинства программ-вымогателей, обнаруженных до настоящего времени, этот новый модуль программы-вымогателя скомпилирован в формат файла образа Java (JIMAGE). JIMAGE — это формат файла, в котором хранятся пользовательские изображения JRE, предназначенные для использования виртуальной машиной Java (JVM) во время выполнения.
Вот как произошло нападение:
- Чтобы добиться сохранения на компьютере жертвы, злоумышленники использовали технику, называемую внедрением параметров выполнения файла изображения (IFEO). Настройки IFEO хранятся в реестре Windows. Эти настройки дают разработчикам возможность отлаживать свое программное обеспечение, подключая отладочное приложение во время выполнения целевого приложения.
- Затем бэкдор был запущен вместе с функцией экранной клавиатуры Microsoft Windows (OSK) операционной системы.
- Злоумышленники отключили антивирусное решение организации с помощью утилиты ProcessHacker и изменили пароли к серверам Active Directory. В результате жертва не может получить доступ к своим системам.
- Большинство файлов злоумышленников, включая библиотеки Java и сценарий выполнения, были снабжены временными метками, а также имели временные метки даты файла 11 апреля 2020 г., 15:16:22.
- Наконец, злоумышленники запустили модуль программы-вымогателя Java, зашифровав все файловые серверы, включая системы резервного копирования, которые были подключены к сети.
После извлечения zip-файла, связанного с программой-вымогателем, есть три модуля от имени «магната». Итак, команда Blackberry назвала этот вымогатель магнатом. Ознакомьтесь с запиской о выкупе магната ниже.
Вы можете найти более подробную информацию об этой программе-вымогателе по ссылке ниже.
Источник: ежевика