Paradise Ransomware распространяется через необычные спам-вложения

Paradise Ransomware распространяется через необычные спам-вложения

Злоумышленники начали отправлять приложения Excel Web Query в фишинговых кампаниях, чтобы загрузить и установить Paradise Ransomware для ничего не подозревающих жертв.

Paradise Ransomware довольно стар, и его активность началась еще в сентябре 2017 года, когда о нем впервые сообщили жертвы на форумах BleepingComputer.

С тех пор от этого вымогателя постоянно поступало множество жертв, что видно из представлений на сайт идентификации вымогателей ID-Ransomware.

Вложения IQY просты в изготовлении и не часто используются

В новой спам-кампании, обнаруженной фирмой кибербезопасности LastLine, было обнаружено, что дистрибьюторы Paradise Ransomware отправляют электронные письма, притворяющиеся предложениями, заказами или ключами.

Читайте также

  • Игровая материнская плата ASRock B550AM с интерфейсом PCI-Express 4
    Нильс Брукхейсен 13 февраля 2020 г.B550 выглядит как отличное обновлениеОбновление 14.02.2020: Уточнено, что эта материнская плата была доступна в системах OEM в течение нескольких кварталов.Благодаря аппаратному руководителю KOMACHI_ENSAKA у нас ест...
  • Как перенести контакты с телефона Nokia
    Как перенести контакты в Lumia со старого телефонаЭто руководство научит вас копировать контакты Lumia и переносить их на SIM-карту, компьютер и смартфоны Android. Мы также расскажем вам, как перенести контакты в Lumia со старого телефона.Руководство...
  • Как Включить Показ Номера На Айфоне
    Что тебя раздражает в стандартной звонилке на iOS наиболее?Самое примитивное и неразвивающееся приложение не умеет находить абонентов по нажатию нескольких кнопок в разделе Знаки, не позволяет назначать резвый вызов на определенные кнопки и лишено ещ...
  • Как Убрать Кнопки На Honor 10 Лайт
    И так свершилось. Гонку, которую начали Samsung и LG в прошлом году среди флагманов, подхватили китайские бренды. И под конец 2017 мода на широкоформатный дисплей вплотную подобралась к среднему и ультра бюджетному сегменту. В то время как гигант Xia...
  • CP 2019 Практика с Tokina Opera 16-28mm F2
    CP 2019: практическая работа с Tokina Opera 16-28 мм F2.8 FFВторой объектив новой линейки Tokina Opera. 16-28 мм F2.8 FF для полнокадровых цифровых зеркальных фотокамер Nikon и Canon. Мы видели макет этого объектива в конце 2019 года, но мы только чт...
  • 25 лучших игр SNES всех времен, супер Metroid и многое другое
    Среди сотен вариантов, это 25 лучших игр SNES всех временSuper Nintendo Entertainment System (SNES) может быть самой лучшей игровой консолью в мире. Он доминировал на рынке, сделал прилагательное «супер» главным продуктом словаря каждого тысячелетия ...

К этим электронным письмам были прикреплены вложения IQY, которые при открытии подключаются к удаленному URL-адресу, содержащему команды PowerShell, которые будут выполняться для загрузки и установки Paradise Ransomware.

Если вы не знакомы с вложением IQY, это просто текстовые файлы, которые инструктируют Excel выполнить команду и использовать ее вывод в качестве источника данных в электронной таблице Excel.

Проблема заключается в том, что эти файлы могут также импортировать данные с удаленных URL-адресов, содержащих формулы Excel, которые могут запускать локальные приложения, такие как команды PowerShell, на компьютере жертвы.

Как вы можете видеть из файла IQY Paradise Ransomware ниже, он содержит только текст, который сообщает Excel, что источник данных из Интернета и какой URL-адрес для получения данных.

Этот удаленный URL, тем не менее, содержит формулу Excel, которая запускает команду PowerShell на компьютере жертвы, который загружает и запускает исполняемый файл key.exe.

Как вы можете догадаться, исполняемый файл key.exe. это Paradise Ransomware, и после выполнения он зашифровывает файлы на компьютере и выдает записку с требованием выкупа. -% OPEN_ME_UP-.txt.

Читайте также

  • Lunar Eclipse 2020 Today 5 фактов, которые вы должны знать, прежде чем наблюдать полутеную волчью луну
    Лунное затмение будет видно в Индии между 10:37 вечера IST 10 января и 2:42 утра IST 11 января. Лунное затмение 2020 года будет видно во многих частях мира, включая Индию Лунное затмение 2020 будет полутеневым лунным затмением Это совпадает с первым ...
  • Частота обновления дисплея 90 Гц против 60 Гц, могут ли люди заметить разницу в этот раз
    60 Гц против 90 Гц: издание для запутанных средних пользователей11 человек не заметили никакой разницы в гладкости. 3 человека сказали, что один из них выглядел более плавно, и выбрал 90 Гц. 1 человек сказал, что один выглядел более гладко и выбрал о...
  • Спектр интернет и телевизионных услуг не работает по всей
    Обновлено 24 марта 2020 г.Несмотря на то, что проблемы со Спектрумом, по-видимому, сохранялись в течение большей части 23 марта, с 24 марта все возвращается в норму. Есть еще несколько жалоб на перебои с Интернетом, но по большей части все должно быт...
  • Apple купит модемный бизнес Intel 5G за 1 млрд долларов
    В пятницу Apple официально объявила о приобретении 1 млрд. Долларов США бизнесом модемов 5G когда в начале недели появилось сообщение, рассказывающее о бизнесе компонентов для смартфонов. Приобретение содержит тысячи патентов на беспроводные технолог...
  • Как Включить Сенсорный Экран На Ноутбуке Lenovo
    Тачпад, либо сенсорная панель, является важной составляющей всех ноутбуков Леново. Это малогабаритный вариант USB-мышки. Положительный момент в том, это очень комфортная вещь, так как устраняет от необходимости использовать проводную мышь, однако еще...
  • Как Отправить Фото По Вайберу С Айфона
    Как выслать фото по вайберу с айфонаВ таком разрезе факте, как выслать фото по вайберу на айфоне, нет никаких сложностей. Процесс будет во всем идентичен с аналогичной операцией на Android.Отправка фото на айфоне через ВайберОтправлять фото на айфоне...

Эта записка о выкупе, показанная ниже, будет содержать ссылку, по которой можно получить требование о выкупе и инструкции по оплате.

Вложения IQY были замечены в других кампаниях по распространению вредоносного ПО, таких как Necurs, Buran Ransomware и троянец удаленного доступа FlawedAmmy, но они обычно не видны.

Они также могут быть чрезвычайно эффективными, поскольку вложения. это просто текстовые файлы без вредоносного кода. Это может затруднить их обнаружение программным обеспечением безопасности.

«Эта кампания продемонстрировала, как вооруженные IQY могут быть эффективным способом проникновения в сеть злоумышленника. Поскольку эти IQY не содержат полезной нагрузки (только URL), они могут быть сложными для обнаружения организациями. Организациям, возможно, придется полагаться на стороннюю организацию». Служба репутации URL-адресов, если у них нет устройств для анализа и опроса этих URL-адресов. пояснила в своем отчете LastLine.

Если вы специально не используете файлы IQY в своей организации или дома, рекомендуется блокировать их с помощью защитного программного обеспечения или удалять любые электронные письма, которые используют их в качестве вложений.

Вложения IQY, доставленные по электронной почте неизвестными людьми, почти всегда будут вредоносными и должны быть просто удалены.

You may also like