«Одно целевое фишинговое электронное письмо, содержащее слегка измененное вредоносное ПО, может обойти многомиллионные решения по обеспечению безопасности предприятия, если злоумышленник обманом заставляет сотрудника, не соблюдающего кибергигиены, открыть вложение или щелкнуть вредоносную ссылку и тем самым поставить под угрозу всю сеть. ».
Джеймс Скотт, старший научный сотрудник Института технологий критической инфраструктуры
На прошлой неделе программа-вымогатель под названием Defray нацелена на избранную группу элитных организаций и требует 5000 долларов США. при заражении. Это троян-кодировщик файлов, написанный на C++ и использующий усовершенствованный криптографический алгоритм.
Обязательно к прочтению: Различные способы защиты вашего компьютера от программ-вымогателей
Название Defray основан на хосте сервера управления и контроля в первой обнаруженной атаке: 'defrayable-listings'.
Он также известен под другим названием Glushkov Ransomware. Имя может использоваться в качестве ссылки на учетные записи электронной почты «[email protected]», «glushkov®tutanota.de» и «[email protected]», которые используются для распространения угрозы и для связи с хакером.
Он проводил две небольшие и выборочные атаки и признан серьезной криптоугрозой. угрозу сравнивают со штаммами Petya и WannaCry.
По имеющимся данным, угроза нацелена в основном на сеть больниц и образовательных учреждений, а также на шифрование данных.
Первые атаки были направлены на организации здравоохранения и образования, в то время как другие нацелены на производственные и технологические учреждения.
Как это распространяется?
Img src: gbhackers
Установщик, используемый для распространения вредоносного ПО, использует документ Word, который содержит встроенный исполняемый видеоклип (объект оболочки упаковщика O LE).
Когда получатель пытается воспроизвести встроенный видео, которое представляет собой изображение, Defray Ransomware устанавливается и активируется. После установки он начинает шифровать данные, а затем отображает записку о выкупе, в которой говорится, что для восстановления доступа вы должны заплатить выкуп.
Фишинговые электронные письма и целевые фишинговые электронные письма используются для привлечения офисных сотрудников, а затем их заставляют прочитать зараженный документ. Электронные письма адресуются отдельным лицам или группам и состоят из сообщений, специально предназначенных для привлечения целевой аудитории.
Впервые кампания прошла 15 августа и была нацелена на специалистов в области производства и технологий. В продолжение 22 августа была проведена еще одна кампания. Запущены и фальшивые письма были отправлены в медицинские и образовательные организации. В этом электронном письме содержался отчет пациента от предполагаемого директора отдела управления информацией и технологий в больнице.
Img src: Proofpoint
Эти фиктивные электронные письма открыто приглашают вредоносное ПО, и оно устанавливается на компьютеры. Это все равно, что пригласить вампира в свой дом, а затем позволить ему выпить вашей крови.
Обязательно к прочтению: Что можно и чего нельзя делать при борьбе с программами-вымогателями
После всего этого на вашем рабочем столе появляется записка о выкупе, жертву просят заплатить 5000 долларов в биткойнах.
Записку о выкупе можно найти в двух файлах с именами «Files.TXT» и «HELP». TXXR» и заключает:
«Это специально разработанная программа-вымогатель, дешифратор не будет создан антивирусной компанией. У этого даже нет имени. Он использует AES-256 для шифрования файлов, RSA-2048 для хранения зашифрованного пароля AES-256 и SHA-2 для сохранения целостности зашифрованного файла. Он написан на C++ и прошел множество тестов качества. Чтобы предотвратить это в следующий раз, используйте автономные резервные копии».
Источник: tripwire
Defray Ransomware шифрует файлы со следующими расширениями:
.001, .3ds, .7zip, .MDF, .NRG, .PBF, .SQLITE, .SQLITE2, .SQLITE3, .SQLITEDB, .SVG, .UIF, .WMF, .abr, .accdb, .afi, .arw. , .asm, .bkf, .c4d, .cab, .cbm, .cbu, .class, .cls, .cpp, .cr2, .crw, .csh, .csv, .dat, .dbx, .dcr, . dgn, .djvu, .dng, .doc, .docm, .docx, .dwfx, .dwg, .dxf, .exe, .fla, .fpx, .gdb, .gho, .ghs, .hdd, .html, .iso, .iv2i, .java, .key, .lcf, .lnk, .matlab, .max, .mdb, .mdi, .mrbak, .mrimg, .mrw, .nef, .odg, .ofx, .orf , .ova, .ovf, .pbd, .pcd, .pdf, .php, .pps, .ppsx, .ppt, .pptx, .pqi, .prn, .psb, .psd, .pst, .ptx, . pvm, .pzl, .qfx, .qif, .r00, .raf, .rar, .raw, .reg, .rw2, .s3db, .skp, .spf, .spi, .sql, .sqlite-journal, . stl, .sup, .swift, .tib, .txf, .u3d, .v2i, .vcd, .vcf, .vdi, .vhd, .vmdk, .vmem, .vmwarevm, .vmx, .vsdx, .wallet, .win, .xls, .xlsm, .xlsx, .zip.
Источник: enigmasoftware
Следующее чтение: Locky Программа-вымогатель «Возвращение из мертвых»
Все эти атаки программ-вымогателей — это сигнал тревоги, требующий защиты и осведомленности. Нам следует избегать открытия электронных писем, полученных из анонимных источников и писем, в которых мы не уверены. Нам не следует открывать все вложения, которые мы получаем по электронной почте. Также с точки зрения безопасности на вашем компьютере должен быть установлен обновленный антивирус. машина.
Читать: 0
