AVOSLOCKER RANSOMWARE ВИРУС НЬ

Хэрэглэгч 2022-06-27 11:41:30 Мэдээ

Кибер аюулгүй байдлын судлаачид AvosLocker ransomware-н шинэ хувилбарыг илрүүлсэн бөгөөд бусад ransomware-с ялгаатай зүйл нь эхлээд тухайн системийн вирусийн эсрэг хамгаалалтыг унтраах нэмэлт үйлдэл хийгддэг.

Avast-н Anti-Rootkit Driver файл буюу asWarPot.sys-г ашиглан тухайн системийн хамгаалалтын шийдлийг идэвхгүй болгох чадвартай АНУ-аас анх ашиглаж байсан аргыг энэхүү вируст шингээсэн гэж Trend Micro компанийн судлаач "Кристопер Ордонез, Алвин Нието" нар даваа гаригт хийсэн дүн шинжилгээндээ хэлжээ.

Үүнээс гадна энэхүү вирус нь Nmap-н скрипт сканыг ашиглан эцсийн төхөөрөмжүүд дээр Log4j цоорхой байгаа эсэхийг давхар шалгах боломжтой.

ОХУ-н хакеруудын гаргаж ирсэн REvil Ransomware-н хүрч чадаагүй нөлөөллийг үргэлжлүүлэхээр гарч ирсэн AvosLocker нь одоогоор АНУ-н санхүүгийн салбар, засгийн газрын байгууламж зэрэг чухал дэд бүтэц рүү чиглэсэн халдлагуудтай холбогдоод байна.

2021 оны 7-р сард RAAS ( Ransomware as a service )-д илэрсэн AvosLocker нь тодорхой хэмжээний төлбөрийг нэхдэг бөгөөд үүнээс гадна хэрвээ та мөнгийг нь төлөөгүй тохиолдолд мэдээллийг нь дуудлага худалдаанд оруулах замаар давхар мөнгө олдог.

2022 оны 3-р сарын байдлаар энэхүү вируст АНУ, Сири,Саудын Араб, Герман, Испани, Бельги, Турк, Их Британи, Канад, Тайвань зэрэг улсууд өртсөн байна.

2021 оны 7-р сарын 1-нээс 2022 оны 2-р сарын 28-ны хооронд хамгийн эрчимтэй тархсан бөгөөд одоогоор вирусийн хохирогч болсон салбарууд хүнсний салбар, технологи, санхүү, харилцаа холбоо, хэвлэл мэдээллийн салбар хохирогч болсон байна.

Вирусийг байршуулахад хамгийн их тусалсан зүйл нь HTA-н эмзэг байдал бөгөөд тухайн хакер дурын PowerShell скриптыг ажиллуулж, өөрийн бэлдсэн серверээс ASPX вебшэлл кодыг татаж аваад ажиллуулахаас гадна, дотоод сүлжээг скандах, вирусийн эсрэг програмыг зогсоох, Log4Shell RCE-г илрүүлж EndPoint-уудруу чиглэсэн халдлага хийх эрсдэлтэй.

Энэхүү скрипт нь Windows Update, Windows Defender болон Windows Error Recovery-г идэвхгүй болгох шинэ админ хэрэглэгч үүсгэх мөн Ransomware binary кодыг ажиллуулах боломжийг хакерт бүрдүүлдэг.

Холбоотой нийтлэл

Зөвлөмж