x

Blog

باج‌افزاری در دل تصاویر

خلاصه: یک باج‌افزار که به تازگی کشف شده است اجزاء خود را درون یک فایل تصویری ظاهرا بی ضرر پنهان می‌کند. به همین دلیل به وسیله آنتی‌ویروس‌ها شناسایی نمی‌شود.

باج‌افزار موسوم به SyncCrypt از طریق هرزنامه‌ها توزیع می‌شود و در ضمیمه خود فایل‌های WSF را که به ظاهر دستورات دادگاه هستند دارد، هنگامی‌که پیوست‌ها اجرا می‌شوند، کد جاوا اسکریپت جاسازی شده تصاویر به ظاهر بی‌ضرر را از مکان‌های خاصی استخراج می‌کند و اجزای مخرب را داخل آن‌ها  پنهان می‌کند.

اجزای باج‌افزار به عنوان فایل‌های ZIP در داخل تصاویر ذخیره می‌شوند و اگر کاربر به سادگی  از طریق مرورگر به URL  آن‌ها  دسترسی پیدا کند راه‌اندازی نمی‌شوند. با این حال، JScript مزبور تنها عکس‌ها را دانلود نمی‌کند بلکه اجزای مخرب (sync.exe، readme.html و readme.png) را نیز  استخراج می‌کند.

فایل WSF همچنین یک کار ویندوزی زمان‌بندی شده به نام Sync ایجاد می‌کند. هنگامی که فایل sync.exe برای اولین بار  اجرا می‌شود، شروع به اسکن کردن کامپیوتر قربانی ‌می‌کند تا نوع خاصی از  فایل‌ها را پیدا کند و آن‌ها را  با استفاده از رمزگذاری AES رمزگذاری کند. این بدافزار از الگوریتم AES با کلید رمزگذاری عمومی RSA-4096 جاسازی شده برای رمزگذاری استفاده می‌کند.

این باجافزار بیش از 350 نوع فایل را هدف قرار می‌دهد و پس از رمزگذاری پسوند .kk را به آنها اضافه می‌کند. این تهدید، فایل‌هایی را که در  پوشه‌هایی مانند: windows و program_files و programdata و wint و system volume information‌ و desktop و read me  و recycle.bin$ قرار دارند رمزگذاری نمی‌کند.

این باج‌افزار حدود 430 دلار برای در اختیار قرار دادن کلید رمز‌گشایی درخواست می‌کند. مهاجمین به قربانیان یاد می‌دهند که چگونه پس از پرداخت باج با دادن یک فایل رمز رمز گشا را دریافت کنند.ایمیل هایی که به عنوان بخشی از تحلیل مورد استفاده قرار می‌گیرند عبارتند از: getmyfiles@keemail.me،  getmyfiles@scryptmail.comو getmyfiles@mail2tor.com.

توزیع این باج‌افزار به دلیل توانایی آن برای دور زدن تشخیص بسیار موثر است. به گفته آبرامز، تنها یکی از 58 عامل فعال در VirusTotal می‌تواند تصاویر مخرب را در زمان تجزیه و تحلیل تشخیص دهد. از سوی دیگر، Sync.exe دارای میزان تشخیص 28 از 63 بود.

برای محافظت در برابر باج‌افزار‌ها، کاربران باید هنگام باز کردن فایل پیوست یا کلیک بر روی لینک‌ها در ایمیل‌های دریافت شده از منابع ناشناخته مراقب باشند. آنها همچنین بایستی از فایل‌های خود به صورت دوره‌ای پشتیبان تهیه کنند تا اطمینان حاصل شود که آنها بتوانند اطلاعات خود را بدون نیاز به پرداخت باج  بازیابی کنند. نگه داشتن تمام نرم افزار‌ها به صورت به روز شده در همه زمان‌ها احتمال ابتلا به آلوده شدن را کاهش می‌دهد.

Persian English French German Russian Spanish
کلیه حقوق این سایت متعلق به مرکز تخصصی آپا دانشگاه صنعتی اصفهان می‌باشد. استفاده از مطالب تنها در صورت دریافت تاییدیه کتبی مجاز است.

تحت نظارت وف ایرانی