malware-9

RedLeaves (även känd som RedLeaves Virus) är en Remote Access-Trojaner (RÅTTA) som har varit anställd flera gånger av APT10 (även känd som Sten Panda och HOGFISH), en grupp cyberbrottslingar som tros vara en statlig regi skådespelare i Kina. Namnet på denna Avancerade Ihållande Hot (APT) – gruppen är relaterade till angrepp mot större företag och offentliga organ i Norge och Japan, men deras verksamhet har nått flera andra regioner. Den RedLeaves (även känd som RedLeaves Virus, skadlig kod, i synnerhet, för första gången i och med 2016, då det skickades ut till olika Japanska företag via nätfiske e-postmeddelanden. Angriparna valt att använda en klassisk metod för deras kampanj — som de använde makro-fast Microsoft Office-dokument som, när den öppnas, skulle uppmana användaren för att möjliggöra genomförandet av makron. Om detta tillstånd beviljas, dokumentet kommer att få möjlighet att köra ett skadligt makro-skript som hämtar RedLeaves nyttolast och utför det.

Efter RedLeaves RÅTTA initieras, det kommer att göra flera förändringar till offrets maskin för att få uthållighet. Det droppar dess centrala komponenter i mappen %TEMP% och sedan lägger till flera”.LNK ” filer till ‘Start’ Windows mapp. Ofta, cyberbrottslingar välja att ändra Windows Registret för att få uthållighet, men det verkar som APT10 har beslutat att följa en annan väg.

Den RedLeaves RÅTTA kommer då att ansluta till ett fjärr-Command & Control (C&C) server och använda HTTP-protokollet för att exfiltrate information och ta emot kommandon. Förmågor RÅTTA är inte så många, men de är mer än tillräckligt för att angripare utifrån att orsaka en hel del skada:

En närmare inspektion av RedLeaves källkod visade på flera intressanta saker — det verkar som att dela en hel del likheter med den PlugX RÅTTA och Trochilus, ett open-source Remote Access-Trojaner. PlugX har använts tidigare av APT10 grupp så att det inte skulle vara förvånande om de bestämde sig för att återanvända en del av deras gamla koden.

APT10: s verksamhet är inte vad vi kallar konsekvent säkert, men deras kampanjer bör inte underskattas trots sina tendenser att lägga ner flera månader på en gång. Att skydda ditt nätverk, allt från RedLeaves Trojan kan ske genom att installera en välrenommerade anti-virus software suite.

malware-7

Den Cutlet (även känd som Cutlet Virus) ATM-malware har funnits i över fyra år, och det tros vara en av de främsta val för cyberbrottslingar som vill prova sin lycka på AMT kapning. Verktyget säljs på flera hacking forum, och medan priset är ganska högt, det finns fortfarande massor av brottslingar som väljer att använda för sina slingrande kampanjer. Cutlet (även känd som Cutlet Virus), även känd som Cutlet Tekokare, kommer med detaljerade instruktioner på ryska och engelska, och dess författare ger en övergripande leda på hur man kan undvika att bli fångad, så väl som hur att komma åt USB-porten på ATM modell som denna malware fungerar på (Diebold Nixdorf.)

Precis som många andra delar av ATM-malware, Cutlet krävs två parter för att utföra attacken — och en av dem måste ha fysisk tillgång till ATM för att plantera Cutlet malware, medan andra behöver man komma åt det på distans till ett kommando Cutlet. Gränssnittet för ATM-malware är ganska grundläggande — angriparen behöver ange en speciell kod (tillhandahålls av malware säljaren för licensiering ändamål), och de kan sedan kommandot enheten för att fördela pengar från sina kassetter.

Medan Cutlet är ganska begränsad på grund av att den är kompatibel med bara en särskild ATM maker & modell, det används fortfarande i Ryssland, Ukraina, Moldavien, och även Sverige i stor utsträckning. Det är inte svårt för finansiella institutionerna för att skydda sina ATM enheter från skadlig kod som den här, och den senaste säkerhetsrutiner redan följt av stora leverantörer. Det finns dock fortfarande områden med föråldrade ATM infrastruktur som är utsatt för attacker som man rör Cutlet malware.

ransom-8

En annan aktiv ransomware kampanj visas att target-användarna i Filippinerna och Indien, åtminstone är detta vad online klagomål från användare som påverkas visa. Den ransomware inblandade i attacken har fått namnet ”Truke Ransomware (även känd som TrukeRansomware),” och det kan vara en ny variant av den ökända STOP Ransomware familj. Tyvärr, de flesta versioner av STOPP Ransomware är omöjligt att dekryptera gratis, och det finns en betydande risk för att detta också kommer att bli fallet med Truke Ransomware (även känd som TrukeRansomware).

När denna fil-kryptering Trojan börjar sin attack, det kommer att skanna användarens hårddisk och kryptera innehållet i synnerhet filtyper — dokument, arkiv, videor, databaser, bilder, etc. De filer som slussar är ett nytt namn genom att lägga till”.truke förlängning efter den ursprungliga filen förlängning. Till exempel, en fil med namnet ‘invoice.xlsx” skulle kunna kallas faktura.xlsx.truke ” efter Truke Ransomware attack är komplett.

Naturligtvis författare Truke Ransomware vill ha betalt, och det är därför de erbjuder att sälja en dekryptering verktyg för alla sina offer. Fullständiga instruktioner finns i den lösen not ”_readme.txt” och förövarna be om att bli kontaktad via e-post ferast@firemail.cc. Vi garanterar att samarbeta med ransomware aktörer är en fruktansvärd idé, och du kommer sannolikt att bli lurad om du väljer att betala dem.

Förslaget om att användare påverkas av Truke Ransomware är att utrota den skadade filen-kryptering Trojan genom att använda en ansedd och uppdaterat antivirus scanner. Glöm inte att avlägsnandet av Truke Ransomware är bara en partiell lösning, och du kommer fortfarande att behöva hitta ett sätt att ångra de skador som gjort att dina filer. Det enda bergsäker sättet att återställa dem är att återvinna alla låsta filer från en färsk backup. Tyvärr, om det här alternativet är inte tillgängligt för dig, då du kan ha att vända sig till alternativa data recovery val vars chanser att lyckas är betydligt lägre.

malware-6

Den Adage Ransomware (även känd som AdageRansomware) är en fil-kryptering Trojan som inte ser nya malware forskare säkert — det är för att det är baserat på koden för Phobos Ransomware, en mindre populära ransomware familj som fortfarande visar någon aktivitet. Tyvärr, offer för Adage Ransomware (även känd som AdageRansomware) inte skulle kunna få sina filer tillbaka för fri på grund av avsaknaden av gratis dekryptering alternativ för just denna ransomware familj.

Angriparna är sannolikt att propagera Adage Ransomware via olika medel — piratkopierad programvara, falska nedladdningar, falska e-postbilagor etc. det rekommenderas starkt att undvika att ladda ner och kör okända filer från Internet, särskilt om du inte har en välrenommerade anti-virus program för att hålla dig säker. När Adage Ransomware är lanserat, det kan få att fungera genom att navigera användarens filer och kryptera särskilt filformat — Microsoft Office-dokument, Adobe Projekt, arkiv, videor, bilder, låtar, etc. Varje fil som Adage Ransomware lås kommer att få sitt namn ändrat till bland annat”.id[OFFER-ID].[helpteam38@protonmail.com].ordspråket ” en förlängning. Den ransomware kommer också att torka i Skugga Volym Kopior, och sedan släppa två lösen anteckningar via filer ‘info.hta’ och ‘info.txt.’

Till ingens förvåning, författare Adage Ransomware be att få betalt i Bitcoin och lovar att ge en fungerande decryptor i retur. Men vi skulle inte råda dig att lita på den anonyma cyberbrottslingar bakom det här projektet, eftersom det är högst osannolikt att de kommer att förse dig med några tillförlitliga data recovery lösning. Rätt sätt att ta itu med fil-skåp är att använda ett anti-malware verktyg för att göra sig av med skadliga filer, och sedan se till lagliga alternativ för filåterställning.

ransom-9

Den DMO Ransomware (även känd som DMORansomware) är en fil-kryptering Trojan som kan förökas med hjälp av piratkopierad programvara, falska e-postbilagor, och falska nedladdningar. Dessa är tre av de vanligaste knepen som cyberbrottslingar använder för att sprida skadliga program så att det inte kommer som något nytt att DMO Ransomware (även känd som DMORansomware) s författarna har valt att använda samma strategi. Precis som andra fil-skåp, det DMO Ransomware fokuserar också på att orsaka så mycket skada som möjligt till användarens filer. För att göra detta, det använder ett komplicerat fil-krypteringsalgoritm vars mål är att kryptera innehållet i olika filformat — dokument, bilder, arkiv, videor, kalkylblad, etc. I allmänhet, de DMO Ransomware fokuserar på vanligt förekommande fil typer, men det kan rikta några mer obskyra format också.

De filer som DMO Ransomware tar gisslan är också ett nytt namn genom bland annat en ny fil med filtillägget — ‘.dmo.’ Till exempel, om den ursprungliga filen hette IMG.png,’ kopiera den krypterade skulle bära namnet IMG.png.dmo.’ Utöver dessa ändringar i filsystemet, DMO Ransomware kommer också att se till att färdigställa sin attack genom att skapa den ”HOW_TO_RETURN_FILES.txt’ fil som innehåller ett meddelande från angriparna.

Som väntat författare DMO Ransomware ge en kort förklaring av deras hot: s agerande, och de lovar att ge alla brottsoffer med en decryptor så länge de är villiga att samarbeta med och betala en lösen avgift. Den summa pengar som DMO Ransomware författare söker har inte angetts, men de anger att Bitcoin är den enda betalning metod de använder. De levererar även e-post dmo9o4zb@protonmail.com för vidare kontakt.

Försöker att skaffa dekryptering programvara från förövarna är en dålig idé eftersom de inte kommer att hjälpa dig om du inte betalar dem. Även om du väljer att slutföra betalningen, skulle det fortfarande vara ingen garanti för att de kommer att hålla sin del av affären. Det bästa man kan göra när dina filer har tagits som gisslan av nya ransomware som denna är att köra ett pålitligt antivirusprogram som kommer att ta itu med den påträngande fil-skåp. Efter detta bör du antingen vänta en decryptor för att få ut eller prova alternativa data recovery val.

ransom-8

Fil-kryptering Trojaner fortsätter att vara en av de mest spridda it-hot även i 2019 — säkert inte som en överraskning med tanke på hur lättillgängliga de är för cyberbrottslingar, och hur effektiva de kan vara när det gäller att pressa sina offer. En nyligen fil-skåp som sågs i det vilda är Middleman2020 Ransomware (även känd som Middleman2020Ransomware), ett hot som förefaller delar många likheter med den Maoloa Ransomware som upptäcktes tidigare i år.

Den Middleman2020 Ransomware (även känd som Middleman2020Ransomware) kan slå snabbt och effektivt — om du kör på din dator, på bara några sekunder, du kommer att sluta upp att det inte går att få tillgång till många av dina filer. Detta hot är expert på att kryptera stora delar av dokument, kalkylblad, bilder, videor, arkiv, och andra filtyper som användarna är mer benägna att arbeta med på en daglig basis. Förutom manipulation med sitt innehåll, den Middleman2020 Ransomware kommer också att ändra den ursprungliga filnamn genom att lägga till det ‘.middleman2020 förlängning.

Den Middleman2020 Ransomware inte avsluta sin verksamhet genom att kryptera användarens filer — det kommer även att försöka att torka ut Skuggan Volym Kopior finns på offrets maskin. Detta görs för att förhindra att data återvinning programvara från att kunna ångra den skada som den filen-skåp kunde orsaka. Förutom alla dessa uppgifter, Middleman2020 Ransomware kommer också att skapa lösen not”!INSTRUCTI0NS!.txt ” som hittas på offrets skrivbord. Den här filen innehåller kontaktuppgifter och information om betalning som offret är ombedd att använda om de vill återvinna tillgång till sina filer.

Angriparna inte anger hur mycket Bitcoins de är ute efter att få i utbyte för decryptor och utan att be offret att meddelandet dem på middleman2020@protonmail.com eller middleman2020@tutanota.com för ytterligare instruktioner. Vi rekommenderar dig att ignorera begäran av angriparna och att leta efter en lösning som inte kräver att du att samarbeta med ransomware författare. Vårt förslag är att köra en anti-malware scanner, som kommer att hjälpa dig med borttagning av Middleman2020 Ransomware filer, därför förhindra det från att orsaka mer förödelse. Då bör du försöka att få några av dina filer tillbaka genom att återställa från en backup eller med hjälp av lämpliga data recovery verktyg.

adware-5

Den Cephalo Ransomware (även känd som CephaloRansomware) visas att dela en hel del likheter med ett open-source file-skåp känd som ” HiddenTear.’ Det ursprungliga syftet med HiddenTear projektet var att göra programmerare som är bekanta med begreppet ransomware och se hur det fungerar på insidan. Men författaren av HiddenTear projektet glömde en viktig sak — alla open-source cyber hot som publiceras på nätet är skyldig att vara som används av cyberbrottslingar. Tyvärr fallet med HiddenTear är precis som att, och det har använts för att skapa en lång lista över fil-kryptering Trojaner, och Cephalo Ransomware (även känd som CephaloRansomware) är sannolikt ett av dem.

Den goda nyheten är att Cephalo Ransomware är verkligen en modifierad kopia av HiddenTear skåp, då det är mycket sannolikt att offren skulle kunna lita på en gratis decryptor för att hjälpa dem att få sina filer tillbaka. Om du tror att du har blivit en av de Cephalo Ransomware offer, då föreslår vi att du försöker använda gratis ”HiddenTear Decryptor” för att se om det kan få dina filer tillbaka till det normala.

När Cephalo Ransomware lanseras på en dator, kan det börja att arbeta i bakgrunden och krypterar användarens viktiga filer som till exempel Microsoft Office-filer, Adobe projekt, arkiv, bilder, videor, etc. Det markerar också namnen på alla krypterade filer med det”.ceph ”utvidgning och droppar en ”_READ_ME_.txt’ fil som innehåller en fil dekryptering instruktioner.

Den dåliga nyheten är att de anvisningar som ges av förövarna är ofullständiga, och de är bara villig att ge fullständig uppsättning instruktioner i utbyte mot pengar. För att vara exakt, de vill ha betalt $125 via Bitcoin för en decryptor. Onödigt att säga, du ska inte acceptera detta erbjudande eftersom det inte finns något sätt att kontakta angriparna, och de ger inte heller någon garanti för att du får vad du betalar för. Istället för att försöka jobba med it, köra ett antivirus-program för att avyttra Cephalo Ransomware, och försök sedan att använda den HiddenTear decryptor eller alternativa data recovery tekniker.

ransom-4

Cryptocurrency gruv-malware har varit ganska populära bland cyberbrottslingar under de senaste åren — detta är inte en överraskning med tanke på att det kunde ge dem förmåga att generera ett stort antal olika cryptocurrencies av skörd processorkraft av intet ont anande offer. Men brottslingar som deltar i sådana kampanjer brukar fokusera på infekterar Windows-baserade system eftersom de är mer utspridd — men Bird Miner (även känd som BirdMiner) malware är mycket olika i denna aspekt. Det mål OSX enheter enbart, och den använder en tyst Linux-emulatorn för att möjliggöra utvinning av programvara som körs på den infekterade enheten.

Forskarna såg först den skadliga gruvarbetare i en piratkopia av en populär musik produktion software suite som är endast kompatibel med Apple ‘ s operativsystem. Det kan inte vara en slump att Bird Miner (även känd som BirdMiner) s författarna använder särskilda piratkopierad programvara för distribution av deras skadliga program, eftersom dessa program tenderar att vara hungrig för hårdvara resurser, och det är troligt att deras användare kommer att ha high-end-Processorer som är bra för cryptocurrency mining uppgifter.

OSX pirater som väljer att ladda ner en av de olagliga kopior infekterade med Bird Miner kanske inte märker något utöver det vanliga — installationsprogrammet fungerar bra, och piratkopierade produkter som är användbart. Men, vad som kan vara okända är att installationsprogrammet har också tyst distribuerat Bird Miner filer till olika system och tillfälliga mappar genom att använda slumpmässigt genererat namn.

Den Bird Miner har flera komponenter som tjänar olika syften:

Den Bird Miner också gör de förändringar som krävs för att få uthållighet, därför se till att virtuell Linux-miljö och XMRig gruvarbetare kommer att starta när den infekterade värden startas om.

Med inriktning på OSX enheter är något innovativa när det gäller att cryptocurrency gruvarbetare, är det obestridligt att författarna av Bird Miner har valt en mycket bullrig metod — deras malware lämnar en hel del överblivna filer, processer, och något semi-erfaren användare bör ha möjlighet att upptäcka den ljusskygga verksamhet som händer bakom kulisserna. Dessutom, någon ansedd antivirusprogram för OSX bör lätt att identifiera och eliminera Bird Miner.

ransom-7

Den SystemCrypter Ransomware (även känd som SystemCrypterRansomware) är en fil-skåp har inte varit bunden till någon tidigare känd ransomware projekt, och det är möjligt att författarna kunde ha skrivit den från scratch. Den goda nyheten är att skapande är verkligen inte den mest avancerade när det gäller att fil-kryptering — samtidigt som den kan orsaka skada, malware forskare misstänker att utvecklingen av ett fritt decryptor för SystemCrypter Ransomware (även känd som SystemCrypterRansomware) kan vara möjligt. Detta är verkligen goda nyheter, eftersom det skulle innebära att användare påverkas av SystemCrypter Ransomware attack kanske inte behöver söka ransomware aktörer för att få hjälp.

Trots de potentiella sårbarhet SystemCrypter Ransomware, du ska inte underskatta detta hot förmågor under några som helst omständigheter. Det kan kryptera innehållet på din hårddisk tyst och snabbt, därför se till att du inte kommer att kunna använda dokument, bilder, arkiv, databaser, kalkylblad och andra värdefulla filer.

De filer som SystemCrypter Ransomware krypterar är markerade genom att lägga till ‘.crypted förlängning till och med deras namn. Naturligtvis attacken slutar genom att visa en gisslan anteckning — författarna av SystemCrypter Ransomware har valt att använda ett nytt program-fönstret för detta ändamål. Fönstret med titeln ” SystemCrypter v2.40′ säger till offren att de kommer att behöva skicka 0.066 Bitcoin för plånboken visas i meddelandet om de vill kunna ångra den skada de gjort till sina filer. Onödigt att säga, du bör inte acceptera erbjudandet som du kan hamna förlora både pengar och enkelt dina filer.

För nu, är det bästa att göra om du är ett offer för SystemCrypter Ransomware är att använda en välrenommerade anti-virus verktyg för att eliminera hotande program, och sedan antingen vänta en decryptor att släppas eller undersöka alternativa data recovery val.

adware-5

Numera mobiltelefoner kan ofta sluta lagra mer kritisk än datorer så att det inte är en överraskning att många cyberskurkar är att utforska möjligheten av att skapa Android-kompatibla malware. Så är fallet med GolfSpy (även känd som GolfSpy Virus), en ny skadlig kod stam som har varit aktiva i Mellanöstern — det mål Android-enheter uteslutande. För närvarande är antalet bekräftade infektioner är ganska låg så att det är möjligt att GolfSpy (även känd som GolfSpy Virus, skadlig kod kan användas mot noga utvalda mål.

Säkerhetsforskare har upptäckt likheter mellan strängar och funktioner som används i Inhemska Kattunge och GolfSpy, vilket kan innebära att samma grupp av brottslingar kan ligga bakom båda dessa kampanjer.

GolfSpy är sannolikt att användas för spionage sedan dess primära funktioner är tänkt att exfiltrate data från den infekterade enheten. Den kompletta listan av funktioner är imponerande, och angripare skulle kunna få tillgång till i princip alla uppgifter som finns på den infekterade Android-enhet:

Forskarna kunde avlyssna Command & Control-server som angriparna använder också att exfiltrate insamlade data till. Den information som finns det var ganska rörande — det verkar som om en stor del av den insamlade informationen är relaterad till militär personal.

Överraskande, hotande program att dölja GolfSpy inte finns på Google Play Store eller liknande tjänster — i stället avsändare har valt att sprida dem via falska sociala medier inlägg och meddelanden. Med bara runt 660 offer så långt, GolfSpy: s kampanj är små i fråga om omfattning säkert, men vi får se mer aktivitet från de kriminella snart.