علیرضا عابدینی
کارشناس ارشد فناوری اطلاعات و مدرس کامپیوتر

باج افزار TeamXrat چیست؟

این باج افزار توسط برزیلی ها تهیه شده و به شرکت ها و بیمارستان ها حمله می کند و فایلهای رمزگذاری شده را با پسوند XratteamLucked___. نامگذاری می کند.باج افزار نوشته شده توسط این گروه تحت عنوان –Xpan.win32.Ransom شناخته می‌شود.

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران

 

معرفی باج افزار  TeamXrat


تا قبل از این برزیلی ها، در نوشتن و توزیع تروجان های بانکی شهرت داشتند ولی به نظر می رسه بازار کار و کاسبی باج افزارها اونا رو به این طرفه بازار یعنی ransomware ها کشونده.این گروه خود را به عنوان "TeamXRat" و "CorporacaoXRat" معرفی می کند.(ترجمه از پرتغالی به انگلیسی به عنوان "CorporationXRat"). در نسخه اولیه که از روش xor عملیات رمزنگاری انحام می گرفت و در حال نویسندگان آن با استفاده از روشهای پیچیده اقدام به رمزنگاری می کنند.

هکرها توسط یکی از خدمات ایمیل ناشناس مانند Mail2Tor یا Email.tg یک ایمیل به با آدرس های متفاوت بطور نمونه corporacaoxrat@mail2tor.com، xRatTeam@mail2tor.com و xratteam@email.tg به قربانیان ارسال می کنند و نحوه پرداخت باج را به کاربر اطلاع می دهند.وقتی قربانی با آنها تماس می گیرد، باج گیرها شروع به مذاکره برای پرداخت پول می کنند. همه ارتباطات به پرتغالی صورت می گیرد و در ضمن مبلغ درخواستی از قربانیان برابر با 1 BTC (حدود 603 دلار) بوده. این گروه همچنین ادعا می کند که پرداخت مربوطه یک "کمک مالی" است با این استدلال که "آنها یک نقص امنیتی در سیستم شما پیدا کرده اند تا شما امنیت خود را افزایش دهید" و در نهایت، مجرمان سایبری یکی از فایلهای شما را بطور رایگان رمز گشایی می کنند.

معرفی باج افزار  TeamXrat


این باج افزار در ابتدا به دنبال پیدا کردن زبان پیش فرض سیستم آلوده در رجیستری و در مسیر زیر کرده

HKLM\SYSTEM\CONTROLSET001\CONTROL\NLS\LOCALE

در ادامه در رجیستری با استفاده از هر یک از دستورات net.exe، sc.exe و taskkill.exe به دنبال نام کامپیوتر پرداخته و هر گونه تنظیمات پروکسی را در سیستم از مسیر زیر پاک کرده.

HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\ZONEMAP.

و در ادامه ... پس از اتمام اجرای فعالیت خود در سیستم قربانی، باج افزار تصویر زیر را در سیستم آسیب دیده نمایش می دهد.

معرفی باج افزار  TeamXrat

 

معرفی باج افزار  TeamXrat


بخشی از پروسیجر اصلی این باج افزار بصورت زیر بوده

معرفی باج افزار  TeamXrat


برای کسب جزئیات بیشتر در ارتباط با این باج افزار به لینک مشخص شده در مرجع مراجعه کنید.

  • تنها راه مقابله با این باج افزارها، روشهای پیشگیرانه است که در مقاله "تنها و تنها راه مقابله با باج افزارها" بطور کامل شرح داده شده و در زیر به تعدادی از آنها اشاره می شود.
  • تهیه نسخه پشتیبان بصورت منظم و مدون در بازه های زمانی از اطلاعات کاری و حساس
  • نصب آنتی ویروس و آنتی اسپای به روز
  • رفتار صحیح در محیط اینترنت و عدم مراجعه به سایت های نامطمئن
  • عدم کلیک بر روی لینک های نامعتبر و پیوست های ایمیل نا شناس
  • نصب مرورگر مناسب و البته به روز رسانی مناسب
  • عدم نصب رسانه های ذخیره ساز قابل حمل و نامطمئن


در مقالات بعدی به تعدادی دیگر از این باج افزارها خواهم پرداخت.

مرجع : TeamXRat: Brazilian cybercrime meets ransomware

نویسنده : علیرضا(ARAF)
منبع: ITPRO
هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی می باشد


علیرضا عابدینی
علیرضا عابدینی

کارشناس ارشد فناوری اطلاعات و مدرس کامپیوتر

کارشناس ارشد فناوری اطلاعات هستم ، مدرس دوره های کامپیوتر ، مدیر فناوری اطلاعات و دارای گواهینامه های MCSA ، CCNA ، CEH و Network Plus و خوشحالم از اینکه می تونم دانشم رو در توسینسو به اشتراک بگذارم

21 آذر 1395 این مطلب را ارسال کرده

نظرات