Последнее ралли биткойнов возвращает к жизни не только криптовалютный рынок, но и хакеров. 9 июля Tencent Security сообщила, что они отслеживали троян-майнер под названием Burimi, взломавший более 33 миллионов учетных записей электронной почты с требованием выкупа биткойнов.
Сначала злоумышленник пытается взломать слабый пароль VNC для входа на сервер. После этого злоумышленник загрузит трояна Monero для майнинга, который закроет центр безопасности Windows, добавит загрузку, заразит флэш-диск USB или мобильный жесткий диск, а затем перехватит биткойн-адрес. Что делает этот троян-минер противным, так это то, что он будет использовать зараженный сервер для проверки миллионов паролей учетных записей электронной почты, а затем отправлять массовые шантажированные электронные письма.
Для каждого взломанного сервера злоумышленник может проверить 20 000 учетных записей электронной почты. На момент публикации в прессе было взломано 1691 сервер, и было проверено более 33 миллионов учетных записей электронной почты, включая учетные записи электронной почты в Yahoo, Google, AOL и Microsoft. В конечном итоге это может привести к сотням миллионов проверок аккаунтов электронной почты. Если учетная запись электронной почты успешно подтверждена, будет выслано письмо с вымогательством, которое гласит: «Я знаю ваш пароль и личную информацию, вы должны заплатить XXX долларов в биткойнах на счет XXX в течение X дней, в противном случае ваша личная информация будет опубликована. »
На момент печати 0,2326 BTC было взломано путем подмены адреса вывода на адрес BTC злоумышленника, а 0,01 BTC было переведено на биткойн-адрес хакера. Охранная фирма рекомендует пользователям электронной почты Yahoo, Gmail, AOL, MSN и Hotmail не платить биткойны после получения почты шантажа, а менять пароль электронной почты и включать двойную аутентификацию как можно скорее. Для тех, чьи компьютеры были скомпрометированы, предлагается удалить следующие файлы,
C: ProgramData FtqBnjJnmF [случайный] CFG
C: ProgramData FtqBnjJnmF [случайный] cfgi
C: ProgramData FtqBnjJnmF [случайный] windrv32
C: ProgramData FtqBnjJnmF [случайный] r.vbs
C: Windows 48940040500568694 v.exe
C: Users Администратор AppData Roaming Microsoft Windows Меню Пуск Программы Автозагрузка ftUPeSPdpA.url [случайный]
удалить реестр
HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows CurrentVersion Run Драйвер Microsoft Windows
IOCs бумажники
1EwCEJr5JwpafZx11dcXDtX5QSPJvzth17
1Gx8oRKKczwdB32yiLzVx5hsjAze6g5HHw
qqax27xlp3mlj2xxvg8c907hsjl8rn2c6vvg02zqmk
24dZQuCGWPxHAo541yQ5Ry7diFui4r5PvPYw9569fHSJEZfv1uWdgtxFr6MNqj3PGR4PGXzCGYQw7UemxRoRxCC97t7VaTr
XkaCs9F83uMSNe8F42uX5VbBD9GVTSnp3D
DAyF8DeCqJMJhSwKaTPfJH6FXT7jgw8Tnh
0x8b7f16faa3f835a0d3e7871a1359e45914d8c344
LWxEL2THVBbUK1hSjUf617WLRVEGR7iajp
4BrL51JCc9NGQ71kWhnYoDRffsDZy7m1HUU7MRU4nUMXAHNFBEJhkTZV9HdaL4gfuNBxLPc3BeMkLGaPbF5vWtANQksjQpiLQVUNjzt3UF
PMtseqzh1KbDrGhzcBcXwgU3sJuWK65AJS
t1YmUJ56BtdzoW5oMCxRdngdG4hJP5vKFca
Домен
soruuoooshfrohuo.su
aoruuoooshfrohuo.su
roruuoooshfrohuo.su
toruuoooshfrohuo.su
toruuoooshfrohuo.su
uoruuoooshfrohuo.su
foruuoooshfrohuo.su
zeruuoooshfrohuo.su
zzruuoooshfrohuo.su
bbruuoooshfrohuo.su
soruuoooshfrohoo.su
aoruuoooshfrohoo.su
roruuoooshfrohoo.su
toruuoooshfrohoo.su
toruuoooshfrohoo.su
uoruuoooshfrohoo.su
foruuoooshfrohoo.su
zeruuoooshfrohoo.su
zzruuoooshfrohoo.su
bbruuoooshfrohoo.su
soruuoooshfrohlo.su
aoruuoooshfrohlo.su
roruuoooshfrohlo.su
toruuoooshfrohlo.su
toruuoooshfrohlo.su
uoruuoooshfrohlo.su
foruuoooshfrohlo.su
zeruuoooshfrohlo.su
zzruuoooshfrohlo.su
bbruuoooshfrohlo.su
soruuoooshfrohfo.su
aoruuoooshfrohfo.su
roruuoooshfrohfo.su
toruuoooshfrohfo.su
toruuoooshfrohfo.su
uoruuoooshfrohfo.su
foruuoooshfrohfo.su
zeruuoooshfrohfo.su
zzruuoooshfrohfo.su
bbruuoooshfrohfo.su
ssofhoseuegsgrfnj.su
unokaoeojoejfghr.ru
osheoufhusheoghuesd.ru
fafhoafouehfuh.su
auoegfiaefuageudn.ru
aiiaiafrzrueuedur.ru
osuhughgufijfi.ru
agnediuaeuidhegsf.su
ouhfuosuoosrhfzr.su
agnediuaeuidhegsf.su
unokaoeojoejfghr.ru
URL
hxxp: //thaus.to/1.exe
hxxp: //thaus.to/2.exe
hxxp: //thaus.to/3.exe
hxxp: //thaus.to/4.exe
hxxp: //thaus.to/5.exe
hxxp: //thaus.to/6.exe
hxxp: //thaus.to/7.exe
hxxp: //thaus.to/8.exe
…
IP
193.32.161.77
193.32.161.69
MD5
ef7ffba4b98df751763464f404d3010c
f895a1875b3e112df7e4d548b28b9927
1d843f799da25d93d370969e126c32fa
3e26d2428d90c95531b3f2e700bf0e4c
33e45f80f9cbfd841242e8bb4488def1
