تا %60 تخفیف خرید برای 5 نفر با صدور مدرک فقط تا
00 00 00
در توسینسو تدریس کنید

باج افزار Globe چیست؟

این باج افزار بعد از نفوذ به سیستم قربانی که بطور معمول از طریق ترغیب کردن کاربر بر کلیک بر روی پیوست های ایمیل صورت می گیرد، اقدام به رمزگذاری فایلهای سیستم قربانی با استفاده از الگوریتم رمزگذاری Blowfish به جای رمزگذاری AES کرده. فایلهای رمزگذاری شده دارای پسوند Purge. خواهند بود و آدرس ایمیل و چند کاراکتر تصادفی پس از نام فایل نمایش داده می‌شود.این باج افزار توسط توسط محققان امنیتی Emsisoft از xXToffeeXx کشف شد.به عنوان مثال فایل test.jpg را به نام test.jpg.purge که رمزگذاری شده، تغییر نام داده.

با افزارها بعد از رمز گذاری یک فایل ، یک فایل HTA در آن پوشه ایجاد خواهد کرد که نحوه بازگرداندن فایلهای رمزشده در این فایل ( files.hta ) مشخص شده و همچنین یک اتوران در Userprofile قربانی ایجاد می شود که در هنگامی که ویندوز باز می شود نمایش داده می شود.همچنین در طی رمزگذاری، باج افزار کپی های مربوط به SHADOW VOLUME را حذف کرده و بخش مربوط به Windows Startup Repair را با استفاده از این دستورات غیر فعال می نماید.

معرفی باج افزار Globe

 

vssadmin.exe Delete Shadows /All /Quiet                                                                                                                                                               
bcdedit.exe /set {default} recoveryenabled No                                                                                                                                                         
bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures                     

سرانجام، باج افزار، فایل files.hta را که حاوی نحوه برگرداندن فایلهای رمز شده است را نمایش می دهد.این یادداشت حاوی موارد زیر است:

  • unique ID
  • اطلاعات مرتبط با تماس با باج افزار نویس
  • تعیین آدرس ایمیل powerbase@tutanota.com email برای برقراری ارتباط
  • ارائه آدرس پیام BM-2cUrKsazEKiamN9cZ17xQq9c5JpRpokca5 bitmessage address
معرفی باج افزار Globe


باج افزار تصویر wallpaper مربوط به DESKTOP را تغییر داده.

معرفی باج افزار Globe


فایل HTA مربوط به نحوه باز گرداندن فایلهای رمز شده در این مسیر و فایلها قرار می گیرند.

%UserProfile%\AppData\Local\msiscan.exe
%UserProfile%\How to decrypt your files.jpg

تغییراتی که در رجیستری ایجاد خواهد شد بشرح زیر بوده:

HKCU\Software\Globe
HKCU\Software\Globe\ "idle"
HKCU\Software\Globe\ "debug"
HKCU\Control Panel\Desktop\ "Wallpaper"	"%UserProfile%\How to decrypt your files.jpg"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "How to restore files" = "mshta.exe "%UserProfile%\How to restore files.hta""

تنوعی از انواع فایلها رمزنگاری می شوند که عبارتند از:

aet,afp,agd1,agdl,ai,aif,aiff,aim,aip,ais,ait,ak,al,allet,amf,amr,amu,amx,amxx,ans,aoi,ap,ape,api,apj,apk,apnx,arc,arch00,ari,arj,aro,arr,arw,as,as3,asa,asc,ascx,ase,asf,ashx,asm,asmx,asp,aspx,asr,asset,asx,automaticdestinations-ms,avi,avs,awg,azf,azs,azw,azw1,azw3,azw4,b2a,back,backup,backupdb,bad,bak,bank,bar,bay,bc6,bc7,bck,bcp,bdb,bdp,bdr,bfa,bgt,bi8,bib,bic,big,bik,bin,bkf,bkp,bkup,blend,blob,blp,bmc,bmf,bml,bmp,boc,bp2,bp3,bpk,bpl,bpw,brd,bsa,bsk,bsp,btoa,bvd,c,cag,cam,camproj,cap,car,cas,cat,cbf,cbr,cbz,cc,ccd,ccf,cch,cd,cdf,cdi,cdr,cdr3,cdr4,cdr5,cdr6,cdrw,cdx,ce1,ce2,cef,cer,cert,cfg,cfp,cfr,cgf,cgi,cgm,cgp,chk,chml,cib,class,clr,cls,clx,cmf,cms,cmt,cnf,cng,cod,col,con,conf,config,contact,cp,cpi,cpio,cpp,cr2,craw,crd,crt,crw,crwl,crypt,crypted,cryptra,cs,csh,csi,csl,cso,csr,css,csv,ctt,cty,cue,cwf,d3dbsp,dac,dal,dap,das,dash,dat,database,dayzprofile,dazip,db,db_journal,db0,db3,dba,dbb,dbf,dbfv,db-journal,dbx,dc2,dc4,dch,dco,dcp,dcr,dcs,dcu,ddc,ddcx,ddd,ddoc,ddrw,dds,default,dem,der,des,desc,design,desklink,dev,dex,dfm,dgc,dic,dif,dii,dim,dime,dip,dir,directory,disc,disk,dit,divx,diz,djv,djvu,dlc,dmg,dmp,dng,dob,doc,docb,docm,docx,dot,dotm,dotx,dox,dpk,dpl,dpr,drf,drw,dsk,dsp,dtd,dvd,dvi,dvx,dwg,dxb,dxe,dxf,dxg,e4a,edb,efl,efr,efu,efx,eip,elf,emc,emf,eml,enc,enx,epk,eps,epub,eql,erbsql,erf,err,esf,esm,euc,evo,ex,exf,exif,f90,faq,fcd,fdb,fdr,fds,ff,ffd,fff,fh,fhd,fla,flac,flf,flp,flv,flvv,for,forge,fos,fpenc,fpk,fpp,fpx,frm,fsh,fss,fxg,gam,gdb,gfe,gfx,gho,gif,gpg,gray,grey,grf,groups,gry,gthr,gxk,gz,gzig,gzip,h,h3m,h4r,hbk,hbx,hdd,hex,hkdb,hkx,hplg,hpp,hqx,htm,html,htpasswd,hvpl,hwp,ibank,ibd,ibz,ico,icxs,idl,idml,idx,ie5,ie6,ie7,ie8,ie9,iff,iif,iiq,img,incpas,indb,indd,indl,indt,ink,inx,ipa,iso,isu,isz,itdb,itl,itm,iwd,iwi,jac,jar,jav,java,jbc,jc,jfif,jge,jgz,jif,jiff,jnt,jpc,jpe,jpeg,jpf,jpg,jpw,js,json,jsp,just,k25,kc2,kdb,kdbx,kdc,kde,key,kf,klq,kmz,kpdx,kwd,kwm,laccdb,lastlogin,lay,lay6,layout,lbf,lbi,lcd,lcf,lcn,ldb,ldf,lgp,lib,lit,litemod,lngttarch2,localstorage,log,lp2,lpa,lrf,ltm,ltr,ltx,lua,lvivt,lvl,m,m2,m2ts,m3u,m3u8,m4a,m4p,m4u,m4v,mag,man,map,mapimail,max,mbox,mbx,mcd,mcgame,mcmeta,mcrp,md,md0,md1,md2,md3,md5,mdb,mdbackup,mdc,mddata,mdf,mdl,mdn,mds,mef,menu,meo,mfw,mic,mid,mim,mime,mip,mjd,mkv,mlb,mlx,mm6,mm7,mm8,mme,mml,mmw,mny,mobi,mod,moneywell,mos,mov,movie,moz,mp1,mp2,mp3,mp4,mp4v,mpa,mpe,mpeg,mpg,mpq,mpqge,mpv2,mrw,mrwref,mse,msg,msi,msp,mts,mui,mxp,myd,myi,nav,ncd,ncf,nd,ndd,ndf,nds,nef,nfo,nk2,nop,now,nrg,nri,nrw,ns2,ns3,ns4,nsd,nsf,nsg,nsh,ntl,number,nvram,nwb,nx1,nx2,nxl,nyf,oab,obj,odb,odc,odf,odg,odi,odm,odp,ods,odt,oft,oga,ogg,oil,opd,opf,orf,ost,otg,oth,otp,ots,ott,owl,oxt,p12,p7b,p7c,pab,pack,pages,pak,paq,pas,pat,pbf,pbk,pbp,pbs,pcd,pct,pcv,pdb,pdc,pdd,pdf,pef,pem,pfx,php,pkb,pkey,pkh,pkpass,pl,plb,plc,pli,plus_muhd,pm,pmd,png,po,pot,potm,potx,ppam,ppd,ppf,ppj,pps,ppsm,ppsx,ppt,pptm,pptx,prc,prel,prf,props,prproj,prt,ps,psa,psafe3,psd,psk,pspimage,pst,psw6,ptx,pub,puz,pwf,pwi,pwm,pxp,py,qba,qbb,qbm,qbr,qbw,qbx,qby,qcow,qcow2,qdf,qed,qel,qic,qif,qpx,qt,qtq,qtr,r00,r01,r02,r03,r3d,ra,ra2,raf,ram,rar,rat,raw,rb,rdb,rdi,re4,res,result,rev,rgn,rgss3a,rim,rll,rm,rng,rofl,rpf,rrt,rsdf,rsrc,rsw,rte,rtf,rts,rtx,rum,run,rv,rvt,rw2,rwl,rwz,rzk,rzx,s3db,sad,saf,safe,sas7bdat,sav,save,say,sb,sc2save,sch,scm,scn,scx,sd0,sd1,sda,sdb,sdc,sdf,sdn,sdo,sds,sdt,search-ms,sef,sen,ses,sfs,sfx,sgz,sh,shar,shr,shw,shy,sid,sidd,sidn,sie,sis,sldm,sldx,slk,slm,slt,sme,snk,snp,snx,so,spd,spr,sql,sqlite,sqlite3,sqlitedb,sqllite,sqx,sr2,srf,srt,srw,ssa,st4,st5,st6,st7,st8,stc,std,sti,stm,stt,stw,stx,sud,suf,sum,svg,svi,svr,swd,swf,switch,sxc,sxd,sxg,sxi,sxm,sxw,syncdb,t01,t03,t05,t12,t13,tar,tax,tax2013,tax2014,tbk,tbz2,tch,tcx,tex,text,tg,tga,tgz,thm,thmx,tif,tiff,tlg,tlz,toast,tor,torrent,tpu,tpx,trp,ts,tu,tur,txd,txf,txt,uax,udf,uea,umx,unity3d,unr,unx,uop,uot,upk,upoi,url,usa,usx,ut2,ut3,utc,utx,uu,uud,uue,uvx,uxx,val,vault,vbox,vbs,vc,vcd,vcf,vdf,vdi,vdo,ver,vfs0,vhd,vhdx,vlc,vlt,vmdk,vmf,vmsd,vmt,vmx,vmxf,vob,vp,vpk,vpp_pc,vsi,vtf,w3g,w3x,wab,wad,wallet,war,wav,wave,waw,wb2,wbk,wdgt,wks,wm,wma,wmd,wmdb,wmmp,wmo,wmv,wmx,wotreplay,wow,wpd,wpe,wpk,wpl,wps,wsh,wtd,wtf,wvx,x11,x3f,xf,xis,xl,xla,xlam,xlc,xlk,xll,xlm,xlr,xls,xlsb,xlsm,xlsx,xlt,xltm,xltx,xlv,xlw,xlwx,xml,xpi,xps,xpt,xqx,xsl,xtbl,xvid,xwd,xxe,xxx,yab,ycbcra,yenc,yml,ync,yps,yuv,z02,z04,zap,zip,zipx,zoo,zps,ztmp,cry,a

روش‌های مقابله

روشهای پیشگیری ، بهترین راهی است که می توان در برابر این بدافزارها بکار برد. این بدافزارها دارای الگوریتم های پیچیده ای هستند و در حال حاضر برای آنها راهکار اصلی وجود ندارد و تنها در مواردی ابزاری تهیه شده. شاید از مهمترین روشهای پیشگیری که در خط مقدم قرار می گیرند، عبارتند از: (مقاله تنها و تنها راه مقابله با باج افزارها) تهیه و تدوین سیاست و خط مشی هایی که بتوانید در بازه های زمانی منظم، از اطلاعات کاری و فایلهای حساس و مهم خود پشتیبان تهیه کنید.(Disaster Recovery)
نصب آنتی ویروس و آنتی اسپای مناسب از سایت های معتبر و مهمتر از اون به روزرسانی منظم
نصب UTM; و یا فایروال های نرم افزاری و یا سخت افزاری و پیکربندی مناسب
راه اندازی سامانه های محافظت از پاک شدن فایلها (TFG)
رفتار صحیح در محیط اینترنت و عدم مراجعه به سایت های نامطمئن و لینک های نامعتبر
عدم باز کردن پیوست های ایمیل های ناشناس
نصب مرورگر مناسب و به روز رسانی مناسب
نصب نرم افزارهای مطمئن و از سایت های معتبر و در ضمن به روز رسانی آنها
عدم نصب رسانه های ذخیره ساز قابل حمل و نامطمئن
و ....

در صورت مورد پسند قرار گرفتن این مقاله، نظرات خود را در این ارتباط مطرح کنید.

مرجع : The Globe Ransomware wants to Purge your Files

نویسنده : علیرضا(ARAF)
منبع:ITPRO
هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی می باشد

نظر شما
برای ارسال نظر باید وارد شوید.
0 نظر

هیچ نظری ارسال نشده است! اولین نظر برای این مطلب را شما ارسال کنید...

افرادی که این مطلب را خواندند مطالب زیر را هم خوانده اند