Vairāku licenču atlaides
Threat Database Malware RedEnergy Stealer

RedEnergy Stealer

Līdz Mezo. gadam Malware, Ransomware, Stealers. gadā
Tulkot uz:
Latviešu

RedEnergy ir ļoti izsmalcināts informācijas zaglis, kas ir iemantojis bēdīgu slavu ar savu maldinošo taktiku un daudzpusīgajām iespējām. Šī draudīgā programmatūra izmanto gudru masku, izliekoties par viltotu atjauninājumu dažādām populārām tīmekļa pārlūkprogrammām, tādējādi mērķējot uz plašu nozares nozaru loku. Izmantojot šo masku, RedEnergy izdodas iefiltrēties nenojaušajās sistēmās un veikt savas nelāgās darbības.

Viena no galvenajām RedEnergy funkcijām ir tās prasme iegūt sensitīvu informāciju no daudzām dažādām tīmekļa pārlūkprogrammām. Tas ļauj ļaunprātīgai programmatūrai izgūt vērtīgus datus, piemēram, pieteikšanās akreditācijas datus, personas datus un finanšu informāciju, pakļaujot indivīdiem un organizācijām ievērojamu datu zādzības un privātuma pārkāpumu risku. Iespēja apkopot informāciju vairākās pārlūkprogrammās paplašina RedEnergy sasniedzamību un iespējamo ietekmi, padarot to par spēcīgu apdraudējumu lietotāju digitālās dzīves drošībai.

Turklāt RedEnergy pārsniedz savas informācijas vākšanas iespējas, iekļaujot papildu moduļus, kas atvieglo izspiedējvīrusa darbības. Tas nozīmē, ka papildus vērtīgu datu izfiltrēšanai ļaunprogrammatūra var šifrēt failus inficētajās sistēmās un pieprasīt izpirkuma maksu par to atbrīvošanu. Šī RedEnergy dubultā funkcionalitāte, kas apvieno informācijas zādzību ar iespēju izvietot izspiedējvīrusu, iekļauj to atsevišķā kategorijā, kas pazīstama kā "Stealer-as-a-Ransomware".

RedEnergy Stealer tiek maskēts kā likumīgs pārlūkprogrammas atjauninājums

Pēc aktivizēšanas kaitīgais RedEnergy izpildāmais fails maskē savu patieso identitāti, izliekoties kā likumīgs pārlūkprogrammas atjauninājums. Gudri atdarinot populāras pārlūkprogrammas, piemēram, Google Chrome, Microsoft Edge, Firefox un Opera, RedEnergy mērķis ir likt nenojaušajiem lietotājiem noticēt, ka atjauninājums ir īsts un uzticams.

Kad lietotājs tiek piemānīts, lai lejupielādētu un izpildītu maldinošo atjauninājumu, RedEnergy nogulda kopumā četrus failus apdraudētajā sistēmā. Šie faili sastāv no diviem pagaidu failiem un diviem izpildāmiem failiem, un viens no tiem kalpo kā nedroša slodze. Vienlaicīgi ļaunprogrammatūra uzsāk papildu fona procesu, kas attēlo kaitīgo slodzi, nodrošinot tā izpildi. Kad šī krava tiek atbrīvota, tā parāda aizvainojošu ziņojumu nelaimīgajam upurim, pievienojot savām darbībām papildu ļaunprātīgu nolūku slāni.

Lai vēl vairāk saasinātu draudus, RedEnergy ir aprīkots arī ar noturības mehānismu. Šis mehānisms ļauj ļaunprātīgai programmatūrai palikt inficētajā sistēmā pat pēc tam, kad lietotājs restartē vai izslēdz datoru. Tas nodrošina RedEnergy nepārtrauktu darbību un spēju bez pārtraukuma veikt ļaunprātīgas darbības, pastiprinot tā uzbrukumu ietekmi un ilgmūžību.

RedEnergy Stealer spēj veikt Ransomware uzbrukumus

RedEnergy savā kravā iekļauj izspiedējvīrusu moduļus, ļaujot tai šifrēt upura vērtīgos datus. Draudi pievieno '.FACKOFF!' paplašinājums visu šifrēto failu nosaukumiem. Šī šifrēšana padara failus nepieejamus un kalpo kā piespiešanas metode, lai no upura iegūtu izpirkuma maksu. Lai vēl vairāk iebiedētu un nostiprinātu kontroli, RedEnergy upurim uzrāda izpirkuma ziņojumu ar nosaukumu “read_it.txt”, kurā ir izklāstītas prasības veikt maksājumu apmaiņā pret atšifrēšanas atslēgu. Kā papildu taktika izpirkuma programmatūra maina darbvirsmas fonu, kalpojot kā vizuāls atgādinājums par kompromisu un nepieciešamību izpildīt uzbrucēju prasības.

Nemitīgajos centienos traucēt upura spēju atgūt savus datus, RedEnergy ieviestie izpirkuma programmatūras moduļi iesaistās arī citā postošā darbībā. Tie ir vērsti uz ēnu disku — Windows OS funkciju, kas lietotājiem ļauj izveidot savu failu dublējumkopijas. Dzēšot datus no ēnu diska, RedEnergy efektīvi novērš visus iespējamos dublējumus, kas varētu palīdzēt upurim atjaunot šifrētos failus, pastiprinot steidzamību un spiedienu izpildīt izpirkuma prasības.

Turklāt nedrošs izpildāmais fails, kas saistīts ar RedEnergy, manipulē ar svarīgu konfigurācijas failu, ko sauc par desktop.ini. Šajā failā tiek saglabāti failu sistēmas mapju kritiskie iestatījumi, tostarp to izskats un darbība. Izmantojot šo manipulāciju, RedEnergy iegūst iespēju mainīt failu sistēmas mapju izskatu, iespējams, izmantojot šo spēju, lai slēptu savu klātbūtni un darbības apdraudētajā sistēmā. Iejaucot failu desktop.ini, RedEnergy var izveidot maldinošu vidi, kas maskē tās negodīgās darbības un vēl vairāk kavē upura spēju atklāt un mazināt izspiedējvīrusa ietekmi.

Izpirkuma programmatūras moduļu integrācija RedEnergy lietderīgajā slodzē kopā ar failu šifrēšanu, izpirkuma ziņojuma prezentāciju un darbvirsmas fona tapetes mainīšanu parāda šī apdraudējuma ļaunprātīgos nodomus un progresīvās taktikas. Datu dzēšana no ēnu diska pastiprina uzbrukuma nopietnību, novēršot iespējamās datu atkopšanas iespējas. Lai mazinātu RedEnergy un līdzīgu ļaunprātīgas programmatūras draudu radītos riskus, ļoti svarīgi ir aizsargāt sistēmas ar izturīgiem drošības pasākumiem un uzturēt atjauninātas dublējumkopijas ārējos diskos vai mākonī.

Tendences

Visvairāk skatīts

“Geek Squad” e-pasta krāpniecība

Phishing, Spam
15,882
Populārs tehniskā atbalsta sniedzējs Geek Squad ir kļuvis par pikšķerēšanas krāpniecības upuri, ko sauc par Geek Squad e-pasta krāpniecību. Šajā tehniskā atbalsta krāpniecībā tiek izmantoti viltoti e-pasta ziņojumi, kas liek cilvēkiem izpaust savu personisko informāciju, piemēram, kredītkartes datus, e-pasta adreses un pat sociālās apdrošināšanas numurus. Šajā rakstā mēs apspriedīsim pašu...
Notiek ielāde...