MoneroPay Ransomware vermomd als wallet voor Fake SpriteCoin CryptoCurrency

  • Onderwerp starter Onderwerp starter Abraham54
  • Startdatum Startdatum
  • Reacties 0
  • Weergaven 546

Abraham54

Administrator
Forumleiding
Lid geworden
2 aug 2016
Berichten
36.367
Waarderingsscore
7.050
Punten
113
OS
Windows 11 Professional
AV
Microsoft Defender, MBAM Free & Eset Online
FW
Windows Firewall
Monero blijkt een schaap in wolfskleren te zijn!
Zie ook: Nieuws - YouTube reclame gebruikt om cryptomunten te minen

BRON: Lawrence Abrams van Bleeping Computer, 24 januri 2018

Een nieuwe ransomware genaamd MoneroPay is ontdekt, die probeert te profiteren van de cryptocurrency rage door zichzelf te verspreiden als een wallet voor een nepmunt genaamd SpriteCoin.
Terwijl gebruikers installeerden wat ze dachten dat het een nieuwe cryptocoin was, codeerde MoneroPay de bestanden stilletjes op de computer.

SpriteCoin-wallet werd verspreid via het populaire BitCoinTalk-forum

Deze ransomware werd voor het eerst ontdekt door beveiligingsonderzoeker MalwareHunterTeam en begon rond 6 januari met een post, dat werd gepubliceerd op het grootste cryptocoin-forum BitcoinTalk. Dit onderwerp werd gebruikt om de release van een nieuwe Altcoin genaamd SpriteCoin aan te kondigen.

[ANN] [SPR] Spritecoin Alpha Test Login
— Ubiq ANN Bot (@ubiqannbot) January 7, 2018


Het onderwerp van het forum bevatte een link naar een offline site met een korte pagina over SpriteCoin met een verdere link naar een portefeuille

fake-spritecoin-site.jpg

Valse SpriteCoin Site
Hoewel dit onderwerp inmiddels is verwijderd, werd het gepubliceerd op het Altcoin-discussieforum van de site, dat een gebruikelijke plaats is voor ontwikkelaars van cryptocurrency om nieuwe munten aan te kondigen. Met cryptocurrency zo heet nu, en mogelijk heel lucratief, wanneer veel mensen een nieuwe munt lanceren, downloaden veel mensen snel de wallet van de munt om te beginnen met de mijnbouw voordat de moeilijkheidsgraad te hoog oploopt.

Zodra een gebruiker de portefeuille had gedownload en gestart, zou deze worden geladen en doorgaan naar wat leek op een normale installatie voor een nieuwe cryptocoin-wallet.

wallet-password.jpg

SpriteCoin Wallet
Omdat er in het verleden veel valse positieven waren met betrekking tot portefeuilles, hebben sommige miners hun AV uitgeschakeld bij het testen van nieuwe portefeuilles. De MoneroPay ransomware baseerde zich op deze kennis als een goede manier om de ransomware geruisloos te laten installeren en zonder dat de gebruiker het wist totdat het te laat was.


MoneroPay codeert stilletjes een computer terwijl de valse wallet wordt gesynchroniseerd.

fake-blockchain-synchronization.jpg

Valse Wallet synchronisatie​


Terwijl MoneroPay bestanden codeert, zal het bestanden targeten die overeenkomen met de volgende extensies:

txt, doc, rtf, cpp, tcl, html, ppt, docx, xls, xlsx, pptx, key, pem, psd, mkv, mp4, ogv, zip, jpg, jpeg, work, pyw, hpp, cgi, rar, lua, img, iso, webm, jar, java, class, one, htm, css, vbs, eps, psf, png, apk, ps1, wallet.dat

Van bijzonder belang is dat de ransomware lijkt te zijn gericht op extensies die zijn geassocieerd met programmeertalen. Dit omdat cryptocoin-portefeuilles meestal worden gebruikt door mensen die technisch meer geneigd zijn.

Bij het coderen van een bestand zal MoneroPay de .encrypted extensie toevoegen aan de naam van het versleutelde bestand. Bijvoorbeeld. test.png wordt hernoemd als test.png.encrypted.

encrypted-files.jpg

Versleutelde MoneroPay bestanden

Terwijl de ransomware actief is, zal het ook proberen om wachtwoorden op te halen die zijn opgeslagen in Firefox en Chrome. Deze wachtwoorden en informatie over het slachtoffer en de computer worden geüpload naar een C2-server op jmqapf3nflatei35.onion.link.

password-dump.jpg
Wachtwoord dump

Wanneer de nep-bloksynchronisatie is voltooid, wordt het MoneroPay-vergrendelingsscherm weergegeven en wordt de losgeldnoot weergegeven. Dit is waarschijnlijk ook de eerste keer dat het slachtoffer zich realiseert dat ze zijn geïnfecteerd met ransomware.

moneropay.jpg

MoneroPay
Dit vergrendelingsscherm vraagt ??.3 Monero (XMR), of ongeveer 98 Euro, om de decoderingssleutel te krijgen. Het is niet bekend of iemand het losgeld heeft betaald en met succes zijn bestanden heeft gedecodeerd.

Liefhebbers van CryptoCoin moeten extra voorzorgsmaatregelen nemen tegen malware

Om uzelf tegen ransomware te beschermen, is het belangrijk dat u goede computergewoonten en beveiligingssoftware gebruikt. Eerst en vooral moet u altijd beschikken over een betrouwbare en geteste back-up van uw gegevens die kan worden hersteld in het geval van een noodsituatie, zoals een ransomware-aanval.

Voor cryptocoin-enthousiasten moet je helaas wat meer aandacht besteden dan de meeste mensen. Cryptomunten hebben altijd al een geschiedenis van portefeuilles die worden geïnfecteerd, mensen die malware gebruiken om munten te stelen, en meer. Daarom is het absoluut belangrijk dat iedereen die een nieuwe cryptocoin-portefeuille downloadt, deze eerst met behulp van VirusTotal scant om er zeker van te zijn dat deze niet is geïnfecteerd.

Zelfs als het opvalt, raad ik je toch aan om eerst wallets te testen met een virtuele machine zoals VirtualBox en alleen portefeuilles van bekende organisaties te gebruiken. Dit komt omdat zelfs als een portefeuille schoon wordt weergegeven en geen uiterlijk kwaadaardig gedrag vertoont, je nog steeds geen idee hebt of het achter de schermen iets kwaadaardigs doet.

U zal ook beveiligingssoftware moeten hebben, die gedragsdetecties bevat om ransomware te bestrijden en niet alleen signaaldetecties of heuristieken.
Emsisoft Anti-Malware en Malwarebytes Anti-Malware bevatten bijvoorbeeld gedragsdetectie die kunmnen voorkomen, dat veel, zo niet de meeste ransomware-infecties een computer niet versleutelen.


Last but not least, zorg ervoor dat je de volgende beveiligingsgewoonten beoefent, wat in veel gevallen de belangrijkste stappen van allemaal zijn:

• Back-up, back-up, back-up!
• Open geen bijlagen als u niet weet wie ze heeft verzonden.
• Open geen bijlagen totdat u de bevestiging krijgt, dat de afzender u deze heeft gezonden,
• Bijlagen scannen met tools zoals VirusTotal.
• Zorg ervoor dat alle Windows-updates zijn geïnstalleerd zodra ze verschijnen! Zorg er ook voor dat je alle programma's bijwerkt, vooral Java, Flash en Adobe Reader. Oudere programma's bevatten beveiligingskwetsbaarheden die vaak worden misbruikt door malwaredistributeurs. Daarom is het belangrijk om ze up-to-date te houden.
• Zorg ervoor dat je een soort van beveiligingssoftware hebt geïnstalleerd die gedragsdetecties of white list-technologie gebruikt. White listing kan lastig zijn om te trainen, maar als je bereid bent om mee te doen, kan dit de grootste beloningen opleveren.
• Gebruik harde wachtwoorden en hergebruik nooit hetzelfde wachtwoord op meerdere sites.



IOCs
MoneroPay Hashes:
boost.dll : DBDD00071ED88C6F3AFEB725222BC4118D79E918D970A5428AA48F2EB5280546
cryptonight.dll : EB53B107792809070865591C63E87FCF4CF30BB6863233C7BDBDD7B92BAA7CB3
spritecoind.exe : ABABB37A65AF7C8BDE0167DF101812CA96275C8BC367EE194C61EF3715228DDC
spritecoinwallet.exe : 6DCFD0A4C5E1F4BD137187D39590F8C5F2F29CECDB2DCDCE605B803145643CD3

Bestanden geassocieerd met MoneroPay:
spritecoin\boost.dll
spritecoin\cryptonight.dll
spritecoin\spritecoind.exe
spritecoin\spritecoinwallet.exe

Register toevoeging geassocieerd met MoneroPay:
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "MoneroPay" "MoneroPayAgent.exe"

MoneroPay Network Connecties:
jmqapf3nflatei35.onion.link

MoneroPay Ransom Note:
Your files are encrypted

If you close this window, you can always restart and it should appear again.

All your files have been encrypted by us. This means you will be unable to access or use them. In orrder to retrieve them, you must sent 0.3 monero (about $120 USD) to:

[monero_address]

Make sure you include your payment ID:

Use CTRL+C to copy both

IF YOU DO NOT INCLUDE YOUR PAYMENT ID, YOUR FILES CANNOT BE DECRYPTED. Do not waste your time -- only we can decrypt your files.

If you have paid, click on the DECRYPT button to return your files to normal. Don't worry, we'll give you your files back if you pay.

BRON
 
Terug
Bovenaan Onderaan