Netwalker開発者は、コロナウイルス詐欺キャンペーンを介して人々を標的にします

進行中のパンデミックにより、詐欺師はフィッシングキャンペーンとマルウェアのテーマとして積極的にCORONAの発生を開始しました。受信者のデバイスに危険なNetwalker Ransomwareをインストールするようなキャンペーンの1つが報告されています。

実際のメールは送信されていませんが、MalwareHunterTeamは、最後にNetwalkerのインストールにつながる添付ファイルを見つけました。トールグループとイリノイ州の優勝したアーバナ公衆衛生地区は、この脅威によって攻撃者によって被害を受けたと報告された2人です。

新しいNetwalkerまたはMailtoフィッシングキャンペーンは、ランサムウェアの実行可能で難読化されたコードを含むCORONAVIRUS_COVID-19.vbsという名前の添付ファイルを使用して、デバイス上でランサムウェアを抽出して起動します。

スクリプトが実行されると、実行可能ファイルは%Temp%\ qeSw.exeファイルに自分自身を保存し、デバイスで暗号化プロセスを起動します。

Vitali KremezというSentinelLabsの研究者は、このバージョンのランサムウェアはフォーティネットのエンドポイント保護クライアントを終了させると述べました。ランソメアがなぜそれをするのかと尋ねられたクレメズ氏は、検出を避けるためかもしれないと言った。

「彼らはすでに顧客管理パネルから直接アンチウイルス機能を無効にしているためかもしれないが、彼らはクライアントを終了することによって警報を作動させたくない」とクレメズ氏は語った。

暗号化が完了した後、ユーザーはランサムウェアTor Paymentサイトにアクセスして身代金要求を支払う方法に関する指示が含まれているextension –Readme.txtという名前の身代金ノートを見つけます。

現時点では、ランサムウェアに既知の弱点はありません。つまり、Netwalkerランサムウェアで使用できる公式の復号化ツールはありません。したがって、このマルウェアに感染した場合は、既存のバックアップを使用してファイルを取り戻すか、再作成する必要があります。