InfoProf – Przegląd zagrożeń sieciowych descargar litecoin miner

Po uruchomieniu szkodnik tworzy w domyślnym katalogu systemowym plik o nazwie msnat [RANDOM HEXADECIMAL CHARACTERS] .exe. Por favor, identifíquese con la revista tworzony jest w domyślnym katalogu Temp. Trojan tworzy mutex o nazwie Start_MAIN_JSM_Complete. Następnie łączy się ze zdalnymi lokalizacjami k1.clanupstairs.com, mall.giorgioinvernizzi.com, dop.premiocastelloacaja.com. Wykorzystuje w tym celu port 2352 TCP. Z lokalizacji tych pobiera information at temat szczegółów adresów mailowych. Kolejnym posunięciem jest sprawdzenie skompromitowanej maszyny na listach antyspamowych: ubl.unsubscore.com, blacklist.woody.ch, db.wpbl.info, virus.rbl.msrbl.net, dynip.rothen.com, korea.services.net. sorbs.net, bl.spamcannibal.org, bl.spamcop.net, pbl.spamhaus.org, sbl.spamhaus.org, xbl.spamhaus.org, zen.spamhaus.org, dyna.spamrats.com, noptr.spamrats. com, spam.spamrats.com, psbl.surriel.com, torserver.tor.dnsbl.sectoor.de, dnsbl-1.uceprotect.net, dnsbl-2.uceprotect.net, dnsbl-3.uceprotect.net, bl. emailbasura.org, blackholes.five-ten-sg.com, spamrbl.imp.ch, wormrbl.imp.ch, dnsbl.inps.de, rbl.interserver.net, ubl.lashback.com, relays.nether.net, dnsbl.njabl.org, spamlist.or.kr, short.rbl.jp, virus.rbl.jp, combined.rbl.msrbl.net, images.rbl.msrbl.net, phishing.rbl.msrbl.net, spam. rbl.msrbl.net, probes.dnsbl.net.au, rdts.dnsbl.net.au, ricn.dnsbl.net.au, rmst.dnsbl.net.au, t3direct.dnsbl.net.au, tor.dnsbl. sectoor.de, dul.dnsbl.sorbs.net, http.dnsbl.sorbs.net, misc.dnsbl.sorbs.net, smtp.dnsbl.sorbs.net, socks.dnsbl.sorbs.net, spam.dnsbl.sorbs.net, web.dnsbl.sorbs.net, zombie.dnsbl.sorbs.net, dul.ru, relays.bl.gweep. ca, relays.bl.kundenserver.de, proxy.block.transip.nl, residential.block.transip.nl, fl.chickenboner.biz, dnsbl.cyberlogic.net, bogons.cymru.com, bl.deadbeef.com, ix.dnsbl.manitu.net, ohps.dnsbl.net.au, omrs.dnsbl.net.au, osps.dnsbl.net.au, osrs.dnsbl.net.au, owfs.dnsbl.net.au, owps. dnsbl.net.au, combined.abuse.ch, dnsbl.abuse.ch, drone.abuse.ch, spam.abuse.ch, cbl.abuseat.org, dnsbl.ahbl.org, tor.ahbl.org, cdl. anti-spam.org.cn, duinv.aupads.org, orvedb.aupads.org, ips.backscatterer.org, b.barracudacentral.org, virbl.bit.nl, proxy.bl.gweep.ca. Na koniec szkodnik rozpoczyna wysyłkę spamowych maili.

Szkodnik szyfruje wszystkie pliki posiadające następujące rozszerzenia: .iff, .3fr, .3gp, .7z, .accdb, .ai, .arc, .arw, .avi, .bay, .bmp, .cmp, .cer, .cineon, .cr2, .crt, .crw, .csv, .ctl, .dat, .dbf, .dcr, .der, .des, .dicom, .dng, .doc, .docm, .docx .dsc, .dwg, .dxf, .dxg, .eps, .erf, .fla, .flv, .fmb, .fmt, .fmx, .gif, .hdr, .html, .iif, .img,. indd, .jpe, .jpeg, .jpg, .kdc, .log, .lst, .m4b, .mdb, .mdf, .mef, .mov, .mpeg, .mrw, .nd, .nef, .nrw, .odb, .odm, .odp, .ods, .odt, .openexr, .ora, .orf, .p12, .p7b, .p7c, .pbm, .pck, .pdd, .pdf, .pef, .pem , .pfx, .pgm, .pic, .pkb, .pks, .plb, .pls, .png, .pot, .ppm, .pps, .ppt, .pptm, .pptx, .prn, .psb,. psd, .pst, .ptx, .qba .tlg, .qbm, .qbr, .qbw, .qbw, .tlg, .qbx, .qby, .qfx, .r3d, .raf, .rar,. rdf, .rdo, .rep, .rex, .rtf, .rw2, .rwl, .sql, .srf, .srw, .sti, .sxi, .tiff, .txt, .vdi, .wb2, .wpd, .wps, .xbm, .xlk, .xls, .xlsb, .xlsm, .xlsx, .xml, .yaml, .zip, .php, .css, .asp, .cpp, .js, .pl, .perl , .swf, .aspx, .potx , .potm, .ppam, .ppsx, .ppsm, .sldx, .sldm, .thmx, .xlam, .xltm, .dotm, .dotx. Kolejnym posunięciem szkodnika broma wysłanie klucza który posłużył hacer szyfrowania hacer zdalnej lokalizacji: [http: //] gvgtransportation.com/s/ksubm [removed] oraz utworzenie następującego komunikatu: "¿Cómo puedes descifrar tus archivos? Sus archivos importantes en esta computadora (incluyendo unidades flash o externas conectadas) fueron encriptados. Usted puede verificar esto personalmente. El cifrado se realizó mediante una clave privada única RSA-2048, generada para esta computadora. Para descifrar sus archivos tendrá que pagar 1 Bitcoin. Cualquier intento de eliminar o dañar este software llevará a la destrucción inmediata de la clave privada por parte del servidor. 1 Debe registrar la billetera Bitcoin – Haga clic aquí

2 Adquisición de Bitcoin: a pesar de que puede ser fácil comprar Bitcoin, se está volviendo sencillo todos los días. Aquí están nuestras recomendaciones: LocalBitcoins.com – Este fantástico servicio le permite buscar personas en su comunidad que estén dispuestas a venderle bitcoins directamente. Coinbase.com – Intercambio de Bitcoin basado en Estados Unidos Coin.mx – Un intercambiador internacional de Bitcoin (Acepta tarjeta de crédito Pagos) 3 Envíe el pago de 1 (uno) Bitcoin a la dirección de Bitcoin 1AbwLtv7JTtbLmj8LrGq7TzCdkD4ZNET5C 4 Después de realizar el pago, ingrese su dirección de Bitcoin a continuación para descifrar sus archivos

Szkodnik szyfruje wszystkie pliki posiadające następujące rozszerzenia: .iff, .3fr, .3gp, .7z, .accdb, .ai, .arc, .arw, .avi, .bay, .bmp, .cmp, .cer, .cineon, .cr2, .crt, .crw, .csv, .ctl, .dat, .dbf, .dcr, .der, .des, .dicom, .dng, .doc, .docm, .docx .dsc, .dwg, .dxf, .dxg, .eps, .erf, .fla, .flv, .fmb, .fmt, .fmx, .gif, .hdr, .html, .iif, .img,. indd, .jpe, .jpeg, .jpg, .kdc, .log, .lst, .m4b, .mdb, .mdf, .mef, .mov, .mpeg, .mrw, .nd, .nef, .nrw, .odb, .odm, .odp, .ods, .odt, .openexr, .ora, .orf, .p12, .p7b, .p7c, .pbm, .pck, .pdd, .pdf, .pef, .pem , .pfx, .pgm, .pic, .pkb, .pks, .plb, .pls, .png, .pot, .ppm, .pps, .ppt, .pptm, .pptx, .prn, .psb,. psd, .pst, .ptx, .qba .tlg, .qbm, .qbr, .qbw, .qbw, .tlg, .qbx, .qby, .qfx, .r3d, .raf, .rar,. rdf, .rdo, .rep, .rex, .rtf, .rw2, .rwl, .sql, .srf, .srw, .sti, .sxi, .tiff, .txt, .vdi, .wb2, .wpd, .wps, .xbm, .xlk, .xls, .xlsb, .xlsm, .xlsx, .xml, .yaml, .zip, .php, .css, .asp, .cpp, .js, .pl, .perl , .swf, .aspx, .potx , .potm, .ppam, .ppsx, .ppsm, .sldx, .sldm, .thmx, .xlam, .xltm, .dotm, .dotx. Kolejnym posunięciem szkodnika broma wysłanie klucza który posłużył hacer szyfrowania hacer zdalnej lokalizacji: [http: //] gvgtransportation.com/s/ksubm [removed] oraz utworzenie następującego komunikatu: "¿Cómo puedes descifrar tus archivos? Sus archivos importantes en esta computadora (incluyendo unidades flash o externas conectadas) fueron encriptados. Usted puede verificar esto personalmente. El cifrado se realizó mediante una clave privada única RSA-2048, generada para esta computadora. Para descifrar sus archivos tendrá que pagar 1 Bitcoin. Cualquier intento de eliminar o dañar este software llevará a la destrucción inmediata de la clave privada por parte del servidor. 1 Debe registrar la billetera Bitcoin – Haga clic aquí

2 Adquisición de Bitcoin: a pesar de que puede ser fácil comprar Bitcoin, se está volviendo simple cada día. Aquí están nuestras recomendaciones: LocalBitcoins.com – Este fantástico servicio le permite buscar personas en su comunidad que estén dispuestas a venderle bitcoins directamente. Coinbase.com – Intercambio de Bitcoin basado en Estados Unidos Coin.mx – Un intercambiador internacional de Bitcoin (Acepta tarjeta de crédito Pagos) 3 Envíe el pago de 1 (uno) Bitcoin a la dirección de Bitcoin 1AbwLtv7JTtbLmj8LrGq7TzCdkD4ZNET5C 4 Después de realizar el pago, ingrese su dirección de Bitcoin a continuación para descifrar sus archivos

Szkodnik podejmuje Proby rozprzestrzeniania się jak robak: będzie poszukiwał innych komputerów hacer zainfekowania: przeszukując IP wszystkie adresy i serwery DHCP na wszystkich kartach sieciowych, DHCP wszystkie klienty i serwery DHCP, adresy podsieci – jeśli znajdzie otwarte porty 445/139, wszytskie KOMPUTERY które Maja otwarte połączenie z zainfekowaną maszyną, wszystkie zapisane w tablicy w tazykie zasoby po po po gp j u p j u p j u j u p j u j u j u j u j u j u j u j u j u j u j u j u u u u í Windows Management Instrumentation Command-line) aby infekować inne maszyny z Windows. Stara się też infekować udziały smb exploitując EternalBlue oraz EternalRomance.

Szkodnik sprawdza również procesy których nazwy korespondują z nazwami produktów związanych z bezpieczeństwem i zmienia ich zachowanie. Jeśli szkodnik wykryje na skompromitowanej maszynie produkty Norton lub SEP, nie podejmie próby exploitowania EternalBlue / EternalRomance. Szkodnik sprawdza również czy w komputerze nie ma już znacznika infekcji: C: \ Windows \ perfc. Jeśli go znajdzie nie szyfruje plików.

Szkodnik nadpisuje sektor MBR a po restarcie wyświetla fałszywy ekran CHKDSK.Następnie szyfruje wszystkie pliki o rozszerzeniap .p.p.p.p.p.p.p.p.png. cfg, .conf, .cpp, .cs, .ctl, .dbf, .disk, .djvu, .doc, .docx, .dwg, .eml, .fdb, .gz, .h, .hdd, .kdbx, .mail, .mdb, .msg, .nrg, .ora, .ost, .ova, .ovf, .pdf, .php, .pmf, .ppt, .pptx, .pst, .py, .pyc, .rar , .rtf, .sln, .sql, .tar, .vbox, .vbs, .vcb, .vdi, .vfd, .vmc, .vmdk, vmsd, .vmx, .vsdx, .vsv, .work, .xls , .xlsx, .xvd, .zip. Następnie szkodnik czyści logi oraz usuwa USN journal. Po restarcie wyświetla żądanie zapłaty za odszyfrowanie plików.

banner