Kelių licencijų nuolaidos
Threat Database Malware RedEnergy Stealer

RedEnergy Stealer

Autorius Mezo, Malware, Ransomware, Stealers
Versti į:
Lietuvių

„RedEnergy“ yra labai sudėtingas informacijos vagis, išgarsėjęs dėl savo apgaulingos taktikos ir daugialypių galimybių. Ši grėsminga programinė įranga yra sumaniai užmaskuota, apsimesdama netikru įvairių populiarių žiniatinklio naršyklių atnaujinimu, taip nukreipdama į įvairius pramonės sektorius. Pasinaudodama šia priedanga, RedEnergy sugeba įsiskverbti į nieko neįtariančias sistemas ir atlikti savo niekšiškas operacijas.

Viena iš pagrindinių „RedEnergy“ funkcijų yra jos įgūdžiai išgauti jautrią informaciją iš daugybės skirtingų interneto naršyklių. Tai leidžia kenkėjiškajai programai gauti vertingų duomenų, tokių kaip prisijungimo duomenys, asmeninė informacija ir finansinė informacija, todėl asmenims ir organizacijoms kyla didelė duomenų vagysčių ir privatumo pažeidimų rizika. Galimybė rinkti informaciją keliose naršyklėse išplečia RedEnergy pasiekiamumą ir galimą poveikį, todėl ji kelia didelę grėsmę vartotojų skaitmeninio gyvenimo saugumui.

Be to, „RedEnergy“ neapsiriboja informacijos rinkimo galimybėmis, įtraukdama papildomus modulius, palengvinančius išpirkos reikalaujančių programų veiklą. Tai reiškia, kad kenkėjiška programa ne tik išfiltruoja vertingus duomenis, bet ir gali užšifruoti failus užkrėstose sistemose ir reikalauti išpirkos už jų išleidimą. Dėl šios dvigubos „RedEnergy“ funkcijos, sujungiančios informacijos vagystę su galimybe įdiegti išpirkos reikalaujančią programinę įrangą, priskiriama prie atskiros kategorijos, vadinamos „Stealer-as-a-Ransomware“.

„RedEnergy Stealer“ maskuoja kaip teisėtas naršyklės atnaujinimas

Suaktyvinus kenksmingą „RedEnergy“ vykdomąjį failą, užmaskuojama tikroji savo tapatybė ir rodomas teisėtas naršyklės naujinys. Sumaniai imituodama populiarias naršykles, tokias kaip „Google Chrome“, „Microsoft Edge“, „Firefox“ ir „Opera“, „RedEnergy“ siekia priversti nieko neįtariančius vartotojus patikėti, kad naujinimas yra tikras ir patikimas.

Kai vartotojas yra apgautas atsisiųsti ir vykdyti apgaulingą naujinimą, „RedEnergy“ įkelia iš viso keturis failus į pažeistą sistemą. Šiuos failus sudaro du laikinieji failai ir du vykdomieji failai, o vienas iš jų naudojamas kaip nesaugus krovinys. Tuo pačiu metu kenkėjiška programa inicijuoja papildomą foninį procesą, atspindintį kenksmingą naudingą apkrovą, užtikrindama jos vykdymą. Kai šis krovinys yra išlaisvintas, jis rodo įžeidžiantį pranešimą nelaimingajai aukai, pridedant papildomą piktų kėslų sluoksnį savo operacijoms.

Kad grėsmė dar labiau padidėtų, „RedEnergy“ taip pat turi patvarumo mechanizmą. Šis mechanizmas leidžia kenkėjiškai programai likti užkrėstoje sistemoje net vartotojui iš naujo paleidus arba išjungus kompiuterį. Tai užtikrina nuolatinį „RedEnergy“ veikimą ir galimybę nepertraukiamai vykdyti kenkėjišką veiklą, padidindama jos atakų poveikį ir ilgaamžiškumą.

„RedEnergy Stealer“ gali įvykdyti „ransomware“ atakas

„RedEnergy“ į savo naudingąją apkrovą įtraukia išpirkos reikalaujančių programų modulius, leidžiančius užšifruoti vertingus aukos duomenis. Grasinimas prideda ".FACKOFF!" visų šifruotų failų pavadinimų plėtinį. Dėl šio šifravimo failai tampa nepasiekiami ir naudojamas kaip prievartos būdas iš aukos išpirkti išpirką. Siekdama dar labiau įbauginti ir įtikinti kontrolę, RedEnergy pateikia aukai išpirkos pranešimą pavadinimu „read_it.txt“, kuriame nurodomi reikalavimai sumokėti mainais į iššifravimo raktą. Kaip papildoma taktika, išpirkos reikalaujanti programa pakeičia darbalaukio ekrano užsklandą, tarnauja kaip vaizdinis priminimas apie kompromisą ir būtinybę laikytis užpuolikų reikalavimų.

Nenumaldomai siekdami sutrikdyti aukos galimybę atkurti savo duomenis, RedEnergy įdiegti išpirkos reikalaujantys moduliai taip pat atlieka dar vieną destruktyvų veiksmą. Jie nukreipti į šešėlinį diską – Windows OS funkciją, leidžiančią vartotojams kurti atsargines savo failų kopijas. Ištrindama duomenis iš šešėlinio disko, „RedEnergy“ veiksmingai pašalina visas galimas atsargines kopijas, kurios galėtų padėti aukai atkurti užšifruotus failus, taip padidindama skubą ir spaudimą vykdyti išpirkos reikalavimus.

Be to, nesaugus vykdomasis failas, susietas su RedEnergy, manipuliuoja svarbiu konfigūracijos failu, vadinamu desktop.ini. Šiame faile saugomi svarbiausi failų sistemos aplankų nustatymai, įskaitant jų išvaizdą ir veikimą. Dėl šios manipuliacijos RedEnergy įgyja galimybę keisti failų sistemos aplankų išvaizdą, galbūt panaudodama šią galimybę, kad nuslėptų savo buvimą ir veiklą pažeistoje sistemoje. Pažeisdama failą desktop.ini, „RedEnergy“ gali sukurti apgaulingą aplinką, kuri užmaskuoja savo niekšiškus veiksmus ir dar labiau trukdo aukai aptikti ir sušvelninti išpirkos reikalaujančios programos poveikį.

Išpirkos reikalaujančių programų modulių integravimas į „RedEnergy“ naudingąją apkrovą kartu su failų šifravimu, išpirkos pranešimo pateikimu ir darbalaukio fono pakeitimu parodo šios grėsmės kenkėjiškus ketinimus ir pažangias taktikas. Duomenų ištrynimas iš šešėlinio disko padidina atakos sunkumą, nes pašalinamos galimos duomenų atkūrimo galimybės. Norint sumažinti „RedEnergy“ ir panašių kenkėjiškų programų grėsmių keliamą riziką, labai svarbu apsaugoti sistemas taikant patikimas saugos priemones ir išlaikyti naujausias atsargines kopijas išoriniuose diskuose arba debesyje.

Tendencijos

Labiausiai žiūrima

„Geek Squad“ el. pašto sukčiavimas

Phishing, Spam
15,882
„Geek Squad“, populiarus techninės pagalbos teikėjas, tapo sukčiavimo sukčiavimo, vadinamo „Geek Squad“ el. pašto sukčiavimu, auka. Ši techninės pagalbos afera naudoja netikrus el. laiškus, kurie apgaudinėja žmones, kad jie atskleistų savo asmeninę informaciją, pvz., kredito kortelės duomenis, el. pašto adresus ir net socialinio draudimo numerius. Šiame straipsnyje aptarsime patį sukčiavimą,...
Įkeliama...