Forbedrede .lnk fil scripts er blevet bærere af Kovter ransomware sammen med Locky

Der er ingen tvivl om at ransomware og malware forfattere opnås avancerede færdigheder til at narre brugere, da teknologien er fremme. For nylig har Microsoft Malware Protection Center rapporteret, at cyberkriminelle og malwareforfattere bruger en kombination af forbedrede .lnk-scripts til at installere Kovter og Locky ransomware på mange computere. Sammen med forbedrede .lnk scripts, bruger de også velholdte download sites til at transportere Kovter ransomware til brugerens computere.

Hvad er Kovter ransomware

Kovter Ransomware udfører den almindeligt anvendte Police Ransomware scam. Under denne scam, malware tricks brugerne til at tro at de har brudt nogle lov (copyrighted materiale eller ulovlig pornografi). En fuld skærm truende meddelelse sammen med det lokale politi logo vises og låser offerets computer. Som følge heraf betaler de intetanende brugere løsepenge for at låse deres pc op. Selv om der er flere andre Police Ransomware Trojans, er Kovter Ransomware en relativt ny på blokken.

Hvordan Kovter ransomware overføres til brugerens pc

Kovter ransomware

For ikke længe siden har Microsoft Malware Protection Center rapporteret, at en e-mail-kampagne distribuerede .lnk-filer med et ondsindet script. Og dette ondsindede script var bæreren af ​​den meget berygtede Locky ransomware. I denne proces har malwareforfattere vedhæftet den ondsindede .lnk med e-mailsne. Når brugerne åbnede disse vedhæftede filer, udførte filer et PowerShell-script, der udførte en downloadrutine. Faktisk blev en mere kompleks version af .lnk scriptsne fundet at levere mere malware fra flere download sites.

De nyligt forbedrede .lnk-filer har fem eller flere forskellige hardkodede domæner. Når brugere åbner disse filer, forsøger scriptet at downloade malware for nyttelast. Tidligere var det begrænset til Locky ransomware; men nu overfører scriptet også Kovter ransomware.

Teamet på Microsoft Malware Protection Center nævner hvordan scriptet virker for at installere Locky samt Kovter ransomware.

"Skriptet forsøger at få adgang til en bestemt placering i domænerne ved at bruge en parameter. Det gør det for alle domæner, en efter en, indtil det er i stand til at kunne downloade sin nyttelast. Hvis det ikke lykkes i første pass, bruger det en anden parameter og går igen gennem de fem domæner. Den udløber efter et andet pass og stadig ikke succesfuld download. Brugen af ​​flere domæner og teknikken til lagring af resten af ​​webadressen som parameter er en måde at omgå URL-filtreringsløsninger. Alle scriptets behov er en webadresse, der ikke er blokeret for at kunne downloade malware. "

De fleste af de ondsindede vedhæftede filer, der kommer fra malwareforfatterne til infektionsformål, er multi-layer .zip-filer. Ud af de to består den anden .zip-fil af .lnk-filen.

Kovter ransomware

Kovter ransomware som malware er en alvorlig trussel mod de intetanende brugere. Kun gode antimalware-programmer og praktiserende forsigtighed kan undgå angreb af en ransomware.

For at vide mere om Kovter ransomware, læs den komplette blog på Microsoft Malware Protection Center.

Kilde

Giv en kommentar

Dette websted bruger Akismet til at reducere spam. Lær, hvordan dine kommentardata behandles.