Sikkerheden samfund har rapporteret, at NjRat Lime Edition Trojan nylig er blevet opdateret med en ny ransomware komponent. Det faktum, at dette hacking værktøj er populær blandt it-kriminelle både på de underjordiske hacker markeder og de samfund, betyder, at det er sandsynligt, at angrebene vil blive lanceret med det meget snart. Den forventede kommende angreb kan tegne hele netværk på globalt plan. Dette er grunden til, at vi tager en dybdegående kig ind i NjRat Lime Edition Trojan ved at analysere alle sine evner.
njRAT Lime Edition Trojan Oversigt: Hvorfor betyder det noget
Den NjRat Lime Edition Trojan er en ny malware, der for nylig er blevet identificeret af sikkerheden samfund. Hvad gør det unikt blandt mange andre, er det faktum, at selv i de første udgivelser det omfatter næsten alle de moduler, der er indeholdt i avancerede trusler. Programmørerne bag det har også lagt den eksekverbare fil til fri på de underjordiske steder. Den nyeste version er 0.7.8 udgivet blot et par dage siden.
Vi har været i stand til at få en kopi af truslen via farlige kilder. Dens interessant at bemærke, at det er ved at blive annonceret som et malware fjernbetjening hacking værktøj, mens på samme tid bærer varsel “Kun til undervisningsbrug”. Den første version offentlige version sporet af fællesskabet (11/9/2017) er kendt 0.7.6. Dette gør den seneste opdatering kun et punkt frigivelse.
ADVARSEL! Vi har fået de eksekverbare filer og den tilhørende dokumentation for at forberede denne artikel kun til uddannelse. Vi har ikke tolerere hacking og malware operationer.
NjRAT Lime Edition trojanske Levering Metoder
Afhængigt af hacker-taktik det NjRAT Lime Edition Trojan kan implementeres ved hjælp af forskellige taktikker. En af de mulige måder at gøre de infektioner er gennem en nyttelast Downloader. Dette kan opnås ved anvendelse af følgende metoder:
- e-mails - De malware operatører kan bruge robotter til at generere meddelelser, der letter skabeloner til formål at afpresse brugerne downloade og køre en vis inficeret fil. Det kan enten være en eksekverbar fil, arkiv eller dokument. Hvorom alting når den er downloadet og henrettet infektionen med NjRAT Lime Edition Trojan påbegyndes. I tilfælde af dokumenter malware scripts kan indsættes i stort set alle de udbredte formater: databaser, præsentationer, rige tekstdokumenter og regneark.
- Downloads - Inficerede tilfælde kan placeres på download-portaler og lettes gennem pop-ups og web omdirigeringer.
- Browser Hijackers - Dangerous web browser plugins kan bruges til at installere malware som denne. De er som regel lavet til de mest populære programmer: Mozilla Firefox, Google Chrome, Safari, Microsoft Edge, Internet Explorer og Opera.
NjRAT Lime Edition Trojan infektion Fase: Hvordan det hele begynder
Når NjRAT Lime Edition Trojan har gjort sin vej til værten computere en af de første handlinger, det gør, er at kontrollere systemet for eventuelle kørende debugging eller sikkerhedsmæssige forekomster. Effektivt truslen formår at installere sig selv i en stealth måde ved at se op underskrifter fra virtuelle maskiner (VirtualBox og VMWware), sandkasse miljøer, proces analyse forsyningsselskaber (Process Explorer), netværksværktøjer (Wireshark) og andre systemadministration software (ApateDNS). Hvis det ikke er i stand til at slette eller deaktivere dem så virus kan slette sig selv for at undgå at blive opdaget.
Den sikkerhed analytikere har også afsløret, at det måske ikke starte umiddelbart efter infektionen er blevet gjort. Dette “søvn” funktion er implementeret or at narre anti-virus-motorer, som forudsætter, at en virus ville begynde at manipulere systemet ved første infektion. Den NjRAT Lime Edition Trojan har også vist sig at anlægge en vedholdende installation som effektivt forhindrer manuel brugerens fjernelse metoder. Det overvåger løbende brugernes adfærd og deaktiverer alle handlinger, der kan forstyrre sine processer.
Andre tiltag, der er gjort gældende i denne første fase af malware s omfatter systemændringer. De er bevidst gjort for at forberede systemet til opfølgning malware handlinger. Eksempler indbefatter følgende:
- Tilføjelsen af en skjult Client - Den NjRAT Lime Edition Trojan skaber en skjult proces, som ikke let kan identificeres af brugeren eller systemadministratoren. Det har evnen til at skabe nye, tilslutte op til eksisterende applikationer og ændre dens privilegium niveauer efter behag.
- Malware Stoper - Den trojanske kode kan identificere eksisterende infektioner og overtage kontrollen over dem, hvilket betyder, at hackere kan manipulere deres indstillinger eller endda midlertidigt deaktivere virus.
- Plugin Addition - Hackerne, der opnår koden har evnen til yderligere nappe den ved at tilføje brugerdefinerede plugins til den modulære rammer.
- formørkelse - For at undgå afsløring infektionen motor og alle tilhørende filer kan kopiere sig selv til et system placering og obfuscate deres navne. Det kan også ændre dens udvidelse og ikon.
NjRAT Lime Edition trojanske Capabilities
Når alle basale infektion handlinger har fuldføre NjRAT Lime Edition Trojan malware fortsætter videre. Motoren sætter et netværk klient, der gør det muligt for hackere at fjernstyre de inficerede værter. Vores sikkerhed analyse viser, at dette inkluderer endda strømstyring såsom lukning og genstart. Via internettet kommandoer computerne kan instrueres i at udføre DDOS (distribuerede denial of service) angreb mod fastsatte mål. For at lette optimale tilslutningsmuligheder operatørerne kan instruere kunderne til midlertidigt sove selv eller genoprette forbindelsen med bestemte intervaller. Den trojanske kan også inficere USB-enheder og andre netværksenheder.
A NO-IP dynamisk DNS-server kan eventuelt aktiveret for at tillade botnet skal administreres på en mere effektiv måde. Det er meget muligt, at en kriminel kollektiv at udleje den oprettede malware infrastruktur til andre hackere. På den anden side, da computeren værter er placeret i total kontrol over den trojanske kode de ondsindede brugere kan anlægge prank-lignende indstillinger såsom: mus vending, dypning med klippebordets indhold, modifikation af proceslinjen, dreje skærmen til og fra og generere lydbesked via operativsystemets tekst til tale motor. Vigtige komponenter i operativsystemet kan deaktiveres eller endda slettet (Task Manager og Logbog), samt eventuelle logfiler fjernet.
Ved at kapre systemets regionale indstillinger og brugeren konfigurationen de kriminelle kan få en fornemmelse af deres placering. Desuden en offentlig geografiske databaser føres IP-adressen og alle andre relevante værdier for at finde ofrene til en mere præcis placering. Når det kommer til oplysninger høst er der to hovedkategorier, der kan differentieres:
- Personligt identificerbare oplysninger - De indsamlede data kan direkte udsætte brugerens identitet ved at høste oplysninger såsom deres rigtige navn, adresse, telefon, interesser, præferencer og etc.
- System data - Den NjRAT Lime Edition Trojan har evnen til at udtrække en masse følsomme oplysninger fra værtscomputeren, herunder tilgængelige hardwarekomponenter, installerede software applikationer og etc.
Vores analyse viser, at en anden mulig use case scenario er en torrent såmaskine. Hackerne kan drage fordel af den tilgængelige plads på harddisken og netværksforbindelse til frø torrents der genererer forholdet (bedømmelse) for deres konti på forbundne torrent trackere. I mange tilfælde indholdet er ulovligt (pirat) materialer.
Den NjRAT Lime Edition trojanske Ransomware Engine Exposed
Den nyeste version af malware omfatter nu en ransomware komponent. Hackerne bag det have bundtet dybe tilpasningsmuligheder, der er sammenlignelige med avancerede stammer af de mest berømte malware familier. I en iscenesat levering kan lancerede ransomware komponent efter andre malware handlinger har fuldstændig. Dette gælder især, hvis hackere vil hente brugerdata, det vil være nødvendigt at gøre, før krypteringen fase er engageret.
Den ransomware selv kan bruge en tilpasset liste over mål filtype extensions. Normalt hackere har tendens til at omfatte de mest anvendte data såsom eventuelle fundne arkiver, sikkerhedskopier, dokumenter, billeder, musik, videoer, konfigurationsfiler og etc. Det modulære rammer gør det muligt for hackere at endda inkludere en hvid liste og sorte liste. Forbuddet mod visse mapper er normalt forbundet til systemmapper hvilket kan forårsage problemer med computerne, hvis deres filer er ændret.
Når ransomware er afsluttet en specialist udvidelse kan tilføjes til offeret filer til nemt at identificere dem. Andre metoder, der kan bruges til at afpresse brugerne til at betale de hacker operatørerne kan være følgende:
- Tapet Change - De hackere kan indføre et tapet ændring, der kan vise en del af ransomware note.
- ransomware Bemærk - ransomware noter er som regel lavet i tekstfiler eller rige dokumenter, der bruger afpresning taktik, der forsøger at manipulere ofrene til at betale hackere til at betale en ”dekryptering gebyr”.
- lockscreen Instans - En ansøgning ramme kan anlægges på ofrets computer, som effektivt blokerer normale interaktion indtil truslen er blevet fuldstændig fjernet.
Konsekvenser af en NjRAT Lime Edition Trojan infektion
Har denne er imod de overordnede kapaciteter af de NjRAT Lime Edition Trojan tillader næsten ubegrænsede kontrol af værten maskiner. Hvis den kriminelle kollektiv formår at inficere et stort nok antal inficerede værter derefter kan skabes et botnet. Den grafiske brugergrænseflade, som anvendes af operatørerne tillade dem at nemt starte de mest udbredte kommandoer. Den fulde liste udvundet fra en live prøve læser følgende poster:
- Manager - Giver hackere at modtage en oversigt over den inficerede vært.
- Kør fil - Kører et mål fil på værtscomputeren.
- Fjernskrivebord - Starter spionage modul, der viser brugere skærm og deres handlinger i realtid.
- Mikrofon - Optager ofrets mikrofon og sender lydfilerne til hacker operatører.
- Malware Killer - Deaktiverer fundet malware via en underskrift scanning.
- Keylogger - hijacks tastetryk og muse bevægelse.
- Udholdenhed - Indstiller den NjRAT Lime Edition Trojan på en måde, som forhindrer manuel bruger fjernelse forsøg.
- Open Chat - Giver hackere til at oprette beskeder til ofrene, der vises som app vindue pop-ups.
- Spread USB - inficerer tilsluttede flytbare lagerenheder.
- PC - Henter filer fra de inficerede computere.
- Klient - Åbner Client præferencer.
- Åbn mappe - Tillad adgang til den inficerede værts lokale drev.
Brugere kan beskytte sig selv ved hjælp af en kvalitet anti-spyware løsning. Vi anbefaler, at alle brugere scanne deres systemer så hurtigt som muligt.
Spy Hunter scanner kun detektere trussel. Hvis du ønsker, at truslen skal fjernes automatisk, du nødt til at købe den fulde version af anti-malware værktøj.Læs mere om SpyHunter Anti-Malware værktøj / Sådan fjernes SpyHunter