باج افزارها با رفتارهای عجیب و غریب(شماره دو) !!!

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران

برای مشاهده تخفیف های ویژه امروز کلیک کنید

||https://tosinso.com/files/get/e0d15c47-b42b-4fdb-93db-81457f289e58||
برنامه‌های رایانه‌ای مخربی که به دلیل رفتار خرابکارانه ای که از خود نشان می دهند موجب اذیت و آزار کاربران می شوند، به این اسم، نامیده شده اند.طبق آخرین آماری که شرکت امنیتی سیمانتک جمع آوری کرده، تعداد بدافزرها تولید شده در سالهای اخیر به مراتب از تعداد نرم افزارهای سالم بیشتر است. بدافزارها در انواع و اقسام آن و در کاربردهای مختلف تهیه و منتشر می شوند و متاسفانه درگاه نشر و توسعه بدافزارها، فضای پرکاربرد اینترنت بوده. دانلود نرم افزارهای رایگان از سایت های نامعتبر، باز کردن پیوست های ایمیل ناشناس از مهمترین دلایل ورود بدافزارها از دریچه اینترنت به سیستم ها و شبکه های کامپیوتری بوده.از انواع بدافزارهای رایانه ای می توان به ویروس‌ها، کرم‌ها، اسب‌های تروآ، جاسوس‌افزارها، آگهی‌افزارها، روت‌کیت‌ها و هرزنامه‌ها اشاره کرد.
!!!مروری بر رفتارهای متفاوت از باج افزارها
--
در ادامه معرفی باج افزارها و رفتارهای متفاوت از آنها با شما خواهم بود با باج افزارهای ذیل:
*باج افزار Globe*، این باج افزار بعد از نفوذ به سیستم قربانی که بطور معمول از طریق ترغیب کردن کاربر بر کلیک بر روی پیوست های ایمیل صورت می گیرد، اقدام به رمزگذاری فایلهای سیستم قربانی با استفاده از الگوریتم رمزگذاری Blowfish به جای رمزگذاری AES کرده. فایلهای رمزگذاری شده دارای پسوند Purge. خواهند بود و آدرس ایمیل و چند کاراکتر تصادفی پس از نام فایل نمایش داده می‌شود.این باج افزار توسط توسط محققان امنیتی Emsisoft از xXToffeeXx کشف شد.به عنوان مثال فایل test.jpg را به نام test.jpg.purge که رمزگذاری شده، تغییر نام داده. باج افزار همچنین در طی رمزگذاری، باج افزار کپی های مربوط به SHADOW VOLUME را حذف کرده و بخش مربوط به Windows Startup Repair را با استفاده از این دستورات غیر فعال می نماید.
||https://tosinso.com/files/get/e216513f-e221-4565-808d-459a8e44271c||
* معرفی Wildfire Locker Ransomware*، این باج افزار، توسط شرکت کسپرسکی و پلیس هلند خاموش شد. باج افزار از رمزنگاری AES-256 غیرمتقارن برای رمزکردن فایل های قربانیان خود استفاده کرده و اکثر قربانیان آن در کشورهای بلژیک و هلند بوده اند. نهایت اینکه بعد از رمز گذاری فایلهای سیستم قربانی، سه فایل یادداشت با فورمتهای TXT - BMP و HTML از خود بجا می گذارد.مبلغ باج درخواستی برایر 299 دلار بوده که در صورت پرداخت نشدن آن در طی یک هفته ، این مبلغ به 999دلار افزایش پیدا کرده و از قربانی می خواهد که برای اطمینان، سه فایلی را که رمز شده، برایش ارسال کند تا بطور رایگان برایش decrypt کند.باج افزار wildfire بیشتر از طریق پیوست های آلوده ایمیل هایی گسترش یافته است که به نظر می رسد، از یک شرکت جهت تحویل کالا ارسال شده است. این فرم های پیوست حاوی اسکریپت های ماکرو آلوده است که از کاربر می خواهد تا با فعال کردن ماکروها محتوای آن را مشاهده کند. به محض فعال شدن، بدافزار دانلود شده و روی سیستم قربانی اجرا می شود.
||https://tosinso.com/files/get/3e42a3e7-e14f-43ce-88e1-9045104ef615||
*معرفی باج افزار Spora*، این باج افزار دست به ابتکار زده و بعد از اینکه همانند هم خویشان خود فایلهای سیستم قربانی را رمز کرد، با کمال احترام با قربانیان خود ارتباط برقرار کرده تا رمزگشایی فایلهای آنها را با تعامل مودبان انجام دهد.این باج افزار، Spora نام دارد. باج افزار Spora بعد از اینکه سیستم قربانی را آلوده کرد و فایلهای داخل آن را Encrypt کرد، پورتالی را به قربانی معرفی می کند که قربانی از طریق شناسه آلودگی درج شده وارد آن شده و بتواند با DEVELOPER باج افزار تعامل متنی و یا زنده داشته باشد. به نظر خیلی جالب میآد و شاید اولین بار که باج افزار نویسان، با کمال آرامش و ادب و مهندسی با قربانیان خود گفتمان می کنند. نکته قابل توجه در این تعامل، پشتیبانی از زبان های انگلیسی و روسی برای برقراری رابطه بوده که در نهایت ادب و احترام انجام می گیرد. همانند اینکه کاربری ، خدماتی را از شرکتی دریافت کند و شرکت مربوطه به سوالات و ابهامات سرویس ارائه شده با کمال آرامش جواب دهد، باج افزار نویسان مورد مذکور هم دقیقا به همین ترتیب عمل کرده، از طریق این پورتال ، به پرسش ها و ابهامات قربانیان پیرامون باج و چونه زنی های مربوطه با کمال ادب پاسخ می دهند.! و قربانیان از این طریق مهلت بیشتری را برای پرداخت باج از هکرها، طلب می کنند. قابل توجه اینکه، باج افزارها نویسان به آن دسته از قربانیانی که رضایت خود را از این تعامل در تالار گفتگوی اینترنتی سایت Bleeping Computer که به بررسی باج‌افزارها شهرت دارد به اشتراک بگذارند تخفیف دریافت کرده و مبلغ کمتری را برای رمز گشایی پرداخت خواهند کرد. عجب دنیایی شده! البته DEVELOPER این باج افزار تخفیف های دیگری نیز قائل می شوند و آن هم برای مواردیست که بیش از 200 سیستم در یک موسسه قربانی شده باشند (تخفیف 10 درصدی). این باج افزار مدت زیادی است که با همین روش فعالیت می کند و ظاهرا با این نحوه تعامل ، قصد دارد خود را یک هکر با اخلاق و همچنین مطمئن در رمزگشایی اعلام کند. DEVELOPER این باج افزار حتی این اطمینان را می دهند که پس از پرداخت باج، طی بسته امنیتی، در برابر حملات باج افزاری بعدی در امان خواهند بود .
||https://tosinso.com/files/get/ef8c47e4-8ff4-4996-812c-e455ee74d5bd||
*معرفی باج افزار Satan*این باج افزار، شاید از لحاظ نحوه شیوع و توسعه ای که انتخاب کرده، از مخربترین نوع باج افزار محسوب شود. developer های این باج افزار، بدافزار نوشته شده را به متقاضیان نشر و پخش آن اجاره می دهند و در نهایت طبق قراردادی که بین طرفین منعقد می گردد، 70 درصد نصیب خود کرده و 30 درصد نصیب نویسنده شده. به عبارتی در دنیای بدافزار نویسان از این روش بعنوان Ransomware-as-a-Service نام می برند که بسیار خطرناک و کثیف بوده. تبهکاران سایبری که در دنیای زیرزمینی اینترنت که از آن به عنوان اینترنت سیاه نام برده می شود، اقدام به نشر و توسعه و کسب و کار کثیف بدافزاری می پردازند. در این شیوه، متقاضی توسعه دهنده باج افزار به سایت نویسنده مراجعه کرده و طبق قرار دادهایی که در لایه پنهان اینترنت انجام می گیرد، اقدام به اجاره باج افزار می کند و حتی در این نوع، امکان سفارشی سازی کردن باج افزار نیز وجود دارد.
||https://tosinso.com/files/get/6a1699a8-32d7-49af-bc6d-22c0b23456b5||
*باج افزار Killdisk*، توسعه دهنه گان این بدافزار با نام قدیمی Sandworm و نام جدید TeleBots شناخته می شوند. در حال حاضر گروه مهاجمان زیرزمینی در فضای اینترنت سیاه به نام BlackEnergy با استفاده از این بدافزار، اقدام به خرابکاری در بخش انرژی، معدن، رسانه و همچنین بانکی کشور اوکراین کرده. در مورد اخیر که در سیستم کارکنان بانکی اتفاق افتاده، نفوذ بدافزار از طریق بخش ماکروهای نرم افزار آفیس که از طریق پیوست ایمیل های ناشناس Office که به ایمیل هرزنامه پیوست شده بودند وارد سیستم ها شده، که بعد از کشف کلمه عبور سیستم ها ، اقدام به حذف و رونویسی فایل‌های حساس سیستمی، سیستم عامل کرده . عمل رونویسی در این بدافزار با رشته های 256 بایتی حاوی mrR0b07 یا fS0cie7y انجام گرفته. در نسخه باج افزاری این بدافزار فرمان sc از تابع WinExec برای ایجاد سرویسی از جانب نرم افزار ایجاد شده و در نهایت با استفاده از تابع wevtutil از ویندوز، سوابق و ردپای خود را از سیستم مربوطه حذف می کند.
||https://tosinso.com/files/get/07d40ddc-1957-4c67-8648-b5623b77e849||

گزینه *پسندیدم*، اعلام رضایت شما از این مطلب.

نویسنده : علیرضا(ARAF)
منبع: ITPRO
هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی می باشد

برنامه‌های رایانه‌ای مخربی که به دلیل رفتار خرابکارانه ای که از خود نشان می دهند موجب اذیت و آزار کاربران می شوند، به این اسم، نامیده شده اند.طبق آخرین آماری که شرکت امنیتی سیمانتک جمع آوری کرده، تعداد بدافزرها تولید شده در سالهای اخیر به مراتب از تعداد نرم افزارهای سالم بیشتر است. بدافزارها در انواع و اقسام آن و در کاربردهای مختلف تهیه و منتشر می شوند و متاسفانه درگاه نشر و توسعه بدافزارها، فضای پرکاربرد اینترنت بوده. دانلود نرم افزارهای رایگان از سایت های نامعتبر، باز کردن پیوست های ایمیل ناشناس از مهمترین دلایل ورود بدافزارها از دریچه اینترنت به سیستم ها و شبکه های کامپیوتری بوده.از انواع بدافزارهای رایانه ای می توان به ویروس‌ها، کرم‌ها، اسب‌های تروآ، جاسوس‌افزارها، آگهی‌افزارها، روت‌کیت‌ها و هرزنامه‌ها اشاره کرد.

مروری بر رفتارهای متفاوت از باج افزارها

در ادامه معرفی باج افزارها و رفتارهای متفاوت از آنها با شما خواهم بود با باج افزارهای ذیل:

باج افزار Globe، این باج افزار بعد از نفوذ به سیستم قربانی که بطور معمول از طریق ترغیب کردن کاربر بر کلیک بر روی پیوست های ایمیل صورت می گیرد، اقدام به رمزگذاری فایلهای سیستم قربانی با استفاده از الگوریتم رمزگذاری Blowfish به جای رمزگذاری AES کرده. فایلهای رمزگذاری شده دارای پسوند Purge. خواهند بود و آدرس ایمیل و چند کاراکتر تصادفی پس از نام فایل نمایش داده می‌شود.این باج افزار توسط توسط محققان امنیتی Emsisoft از xXToffeeXx کشف شد.به عنوان مثال فایل test.jpg را به نام test.jpg.purge که رمزگذاری شده، تغییر نام داده. باج افزار همچنین در طی رمزگذاری، باج افزار کپی های مربوط به SHADOW VOLUME را حذف کرده و بخش مربوط به Windows Startup Repair را با استفاده از این دستورات غیر فعال می نماید.

معرفی Wildfire Locker Ransomware*، این باج افزار، توسط شرکت کسپرسکی و پلیس هلند خاموش شد. باج افزار از رمزنگاری AES-256 غیرمتقارن برای رمزکردن فایل های قربانیان خود استفاده کرده و اکثر قربانیان آن در کشورهای بلژیک و هلند بوده اند. نهایت اینکه بعد از رمز گذاری فایلهای سیستم قربانی، سه فایل یادداشت با فورمتهای TXT - BMP و HTML از خود بجا می گذارد.مبلغ باج درخواستی برایر 299 دلار بوده که در صورت پرداخت نشدن آن در طی یک هفته ، این مبلغ به 999دلار افزایش پیدا کرده و از قربانی می خواهد که برای اطمینان، سه فایلی را که رمز شده، برایش ارسال کند تا بطور رایگان برایش decrypt کند.باج افزار wildfire بیشتر از طریق پیوست های آلوده ایمیل هایی گسترش یافته است که به نظر می رسد، از یک شرکت جهت تحویل کالا ارسال شده است. این فرم های پیوست حاوی اسکریپت های ماکرو آلوده است که از کاربر می خواهد تا با فعال کردن ماکروها محتوای آن را مشاهده کند. به محض فعال شدن، بدافزار دانلود شده و روی سیستم قربانی اجرا می شود.

معرفی باج افزار Spora، این باج افزار دست به ابتکار زده و بعد از اینکه همانند هم خویشان خود فایلهای سیستم قربانی را رمز کرد، با کمال احترام با قربانیان خود ارتباط برقرار کرده تا رمزگشایی فایلهای آنها را با تعامل مودبان انجام دهد.این باج افزار، Spora نام دارد. باج افزار Spora بعد از اینکه سیستم قربانی را آلوده کرد و فایلهای داخل آن را Encrypt کرد، پورتالی را به قربانی معرفی می کند که قربانی از طریق شناسه آلودگی درج شده وارد آن شده و بتواند با DEVELOPER باج افزار تعامل متنی و یا زنده داشته باشد. به نظر خیلی جالب میآد و شاید اولین بار که باج افزار نویسان، با کمال آرامش و ادب و مهندسی با قربانیان خود گفتمان می کنند. نکته قابل توجه در این تعامل، پشتیبانی از زبان های انگلیسی و روسی برای برقراری رابطه بوده که در نهایت ادب و احترام انجام می گیرد. همانند اینکه کاربری ، خدماتی را از شرکتی دریافت کند و شرکت مربوطه به سوالات و ابهامات سرویس ارائه شده با کمال آرامش جواب دهد، باج افزار نویسان مورد مذکور هم دقیقا به همین ترتیب عمل کرده، از طریق این پورتال ، به پرسش ها و ابهامات قربانیان پیرامون باج و چونه زنی های مربوطه با کمال ادب پاسخ می دهند.! و قربانیان از این طریق مهلت بیشتری را برای پرداخت باج از هکرها، طلب می کنند. قابل توجه اینکه، باج افزارها نویسان به آن دسته از قربانیانی که رضایت خود را از این تعامل در تالار گفتگوی اینترنتی سایت Bleeping Computer که به بررسی باج‌افزارها شهرت دارد به اشتراک بگذارند تخفیف دریافت کرده و مبلغ کمتری را برای رمز گشایی پرداخت خواهند کرد. عجب دنیایی شده! البته DEVELOPER این باج افزار تخفیف های دیگری نیز قائل می شوند و آن هم برای مواردیست که بیش از 200 سیستم در یک موسسه قربانی شده باشند (تخفیف 10 درصدی). این باج افزار مدت زیادی است که با همین روش فعالیت می کند و ظاهرا با این نحوه تعامل ، قصد دارد خود را یک هکر با اخلاق و همچنین مطمئن در رمزگشایی اعلام کند. DEVELOPER این باج افزار حتی این اطمینان را می دهند که پس از پرداخت باج، طی بسته امنیتی، در برابر حملات باج افزاری بعدی در امان خواهند بود .

معرفی باج افزار Satanاین باج افزار، شاید از لحاظ نحوه شیوع و توسعه ای که انتخاب کرده، از مخربترین نوع باج افزار محسوب شود. developer های این باج افزار، بدافزار نوشته شده را به متقاضیان نشر و پخش آن اجاره می دهند و در نهایت طبق قراردادی که بین طرفین منعقد می گردد، 70 درصد نصیب خود کرده و 30 درصد نصیب نویسنده شده. به عبارتی در دنیای بدافزار نویسان از این روش بعنوان Ransomware-as-a-Service نام می برند که بسیار خطرناک و کثیف بوده. تبهکاران سایبری که در دنیای زیرزمینی اینترنت که از آن به عنوان اینترنت سیاه نام برده می شود، اقدام به نشر و توسعه و کسب و کار کثیف بدافزاری می پردازند. در این شیوه، متقاضی توسعه دهنده باج افزار به سایت نویسنده مراجعه کرده و طبق قرار دادهایی که در لایه پنهان اینترنت انجام می گیرد، اقدام به اجاره باج افزار می کند و حتی در این نوع، امکان سفارشی سازی کردن باج افزار نیز وجود دارد.

باج افزار Killdisk، توسعه دهنه گان این بدافزار با نام قدیمی Sandworm و نام جدید TeleBots شناخته می شوند. در حال حاضر گروه مهاجمان زیرزمینی در فضای اینترنت سیاه به نام BlackEnergy با استفاده از این بدافزار، اقدام به خرابکاری در بخش انرژی، معدن، رسانه و همچنین بانکی کشور اوکراین کرده. در مورد اخیر که در سیستم کارکنان بانکی اتفاق افتاده، نفوذ بدافزار از طریق بخش ماکروهای نرم افزار آفیس که از طریق پیوست ایمیل های ناشناس Office که به ایمیل هرزنامه پیوست شده بودند وارد سیستم ها شده، که بعد از کشف کلمه عبور سیستم ها ، اقدام به حذف و رونویسی فایل‌های حساس سیستمی، سیستم عامل کرده . عمل رونویسی در این بدافزار با رشته های 256 بایتی حاوی "mrR0b07" یا "fS0cie7y" انجام گرفته. در نسخه باج افزاری این بدافزار فرمان sc از تابع WinExec برای ایجاد سرویسی از جانب نرم افزار ایجاد شده و در نهایت با استفاده از تابع wevtutil از ویندوز، سوابق و ردپای خود را از سیستم مربوطه حذف می کند.

گزینه پسندیدم، اعلام رضایت شما از این مطلب.

نویسنده : علیرضا(ARAF)

منبع: ITPRO

هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی می باشد

علیرضا عابدینی

کارشناس ارشد فناوری اطلاعات و مدرس کامپیوتر

کارشناس ارشد فناوری اطلاعات هستم ، مدرس دوره های کامپیوتر ، مدیر فناوری اطلاعات و دارای گواهینامه های MCSA ، CCNA ، CEH و Network Plus و خوشحالم از اینکه می تونم دانشم رو در توسینسو به اشتراک بگذارم

23 بهمن 1396 این مطلب را ارسال کرده

باج افزارها با رفتارهای عجیب و غریب(شماره دو) !!!

مروری بر رفتارهای متفاوت از باج افزارها

نظرات