Videó: How to Remove Sglh virus Ransomware and is it possible to recover encrypted .Sglh Ransomware Files (November 2024)
Úgy tűnik, hogy nem minden e-mail alapú támadás származik letétbe helyezett családokból, csodás gyógyszereket árusító eladókból vagy szállítmányozó társaságokból, amelyek emlékeztetnek egy kézbesítésre. Néhányan szerencsétlennek tűnnek, akik munkát keresnek. És ebben a gazdaságban mindannyian tudunk legalább egy embert, aki önéletrajzot küld mindenkinek, akit ismer, azáltal, hogy interjút készít.
De amint a Cloudmark a legújabb ízletes spam beadványában elmondta: "Ne kísértjen a váratlan folytatódás". Nagyon haraphatnak.
A Cloudmark nemrégiben hamis folytatása formájában hajtott végre ransomware kampányt - mondta Andrew Conway kutató. Maga a támadás nem egyszerű, és a recept receptjének többször is meg kell nyitnia a rosszindulatú fájlt, de mégis elég hatékony, hogy sok áldozatot érintettek.
Conway ismertette a kampány különböző lépéseit:
A támadás e-mailje a Yahoo! E-mail fiókot, és egy állítólag csatolt fájlt tartalmaz. Conway rámutatott az üzenet négy figyelmeztető jelzésére: kéretlen üzenet volt; a feladó nem adott meg vezetéknevet; az önéletrajzot.zip fájlként küldték el; és vannak hibák a nyelvtan, az írásjelek és a helyesírás hibáiban.
"Valaki, aki valóban benyújtja az önéletrajzát, újraolvassa a munkáját" - mondta Conway.
Amikor a címzett megnyitja a.zip fájlt, meg fog találni egy html fájlt, például a resume7360.html névvel . Az a tény, hogy az önéletrajz.html formátumban van, egy másik vörös zászló, figyelembe véve a legtöbb önéletrajzot szöveges, PDF vagy Word dokumentumként. "Természetesen rossz ötlet a kéretlen PDF és Word fájlok megnyitása is" - mondta Conway.
A támadás HTML fájljának mintája a következőképpen néz ki:
Amikor a címzett megpróbálja megnyitni a fájlt, a böngésző megpróbálja betölteni az URL-t az IFRAME címkébe. "Ugyanaz, mint a felhasználót arra kényszeríteni, hogy kattintson egy linkre" - mondta Conway, megjegyezve, hogy ebben az esetben a link egy veszélyeztetett webszerverre mutat. Az URL újabb HTML fájlt tölt be, amelynek átirányítási linkje a Google Docs linkre mutat.
Az átirányítás metafrissítési címkét használ, amelyet általában egy weboldal tartalmának valós időben történő frissítésére használnak. A másik domain weboldalának metafrissítése általában rosszindulatú. A legtöbb ember ennek végrehajtására HTTP átirányítást vagy JavaScript-et használna, nem pedig meta-frissítést. Csak a tájékoztatásul, a veszélyeztetett céloldal HTML-je így néz ki:
A Google Docs hivatkozás letölt egy másik, a my_resume.zip nevű zip fájlt , és olyan fájlt tartalmaz, mint a my_resume_pdf_id_8412-7311.scr . "Egy véletlenszerűen letöltött fájl az internetről. Veszély, Will Robinson!" - mondta Conway.
A.scr utótag a Windows képernyőkímélőire vonatkozik, de ezek alapvetően speciálisan formázott végrehajtható fájlok a Windows számára. A.scr kiterjesztést gyakran használják rosszindulatú programok továbbküldésére a gyanútlan felhasználók számára. Amikor az áldozat megnyitja a.scr fájlt, ez aktiválja a ransomware szoftvert. Az összes fájl titkosítva van, és több száz dolláros számlát mutatnak be nekik, hogy újra megszerezzék őket.
Conway érdekes kérdést vetett fel erről a ransomware kampányról. A támadónak annyi összetett lépést kellett megtennie, mert a modern víruskereső és spamszűrő eszközök elég hatékonyak, így a siker egyetlen lehetséges módja a több lépés összevonása a védekezés megkerülésére. Ha úgy érzi, hogy több ugrást kell ugrania, csak hogy folytathassa az önéletrajzot, akkor erre figyelmeztetnie kell, hogy valami hamis. Lehet, hogy azt az embert az e-mail mögött nem igazán érdekli egy munka.
