Akta dig för denna nya Tycoon ransomware som riktar sig till Windows-datorer
2 min. läsa
Publicerad den
Läs vår informationssida för att ta reda på hur du kan hjälpa MSPoweruser upprätthålla redaktionen Läs mer
FBI Internet Crime Complaint Center (IC3) publicerade förra året "Internet Crime Report". Rapporten avslöjade att cyberbrottslighet hade kostat enorma 3.5 miljarder dollar (2.7 miljarder pund) under 2019. Angripare använder ransomware för att extrahera pengar från företag och enskilda användare. BlackBerrys säkerhetsforskningsenhet upptäckte nyligen en ny ransomware som påverkade ett europeiskt utbildningsinstitut. Till skillnad från de flesta ransomware som har upptäckts hittills, är denna nya ransomware-modul kompilerad till ett Java-bildfilformat (JIMAGE). JIMAGE är ett filformat som lagrar anpassade JRE-bilder som är designade för att användas av Java Virtual Machine (JVM) under körning.
Så här gick attacken till:
- För att uppnå uthållighet på offrets maskin hade angriparna använt en teknik som kallas Image File Execution Options (IFEO)-injektion. IFEO-inställningarna lagras i Windows-registret. Dessa inställningar ger utvecklare en möjlighet att felsöka sin programvara genom att bifoga ett felsökningsprogram under körningen av en målapplikation.
- En bakdörr exekverades sedan tillsammans med funktionen Microsoft Windows On-Screen Keyboard (OSK) i operativsystemet.
- Angriparna inaktiverade organisationens anti-malware-lösning med hjälp av ProcessHacker-verktyget och ändrade lösenorden för Active Directory-servrar. Detta gör att offret inte kan komma åt sina system.
- De flesta av angriparfilerna var tidsstämplade, inklusive Java-biblioteken och exekveringsskriptet, och hade fildatum tidsstämplar 11 april 2020, 15:16:22
- Slutligen körde angriparna Java ransomware-modulen och krypterade alla filservrar inklusive säkerhetskopieringssystem som var anslutna till nätverket.
Efter extrahering av zip-filen som är associerad med ransomware, finns det tre moduler i namnet "tycoon". Så, Blackberry-teamet har kallat denna ransomware som tycoon. Kolla in lösensumman från tycoon nedan.
Du kan hitta mer information om detta ransomware från länken nedan.
Källa: björnbär
Användarforum
0 meddelanden