انتشار باج‌افزار Hermes

امتیاز کاربران

ستاره فعالستاره فعالستاره فعالستاره فعالستاره فعال
 

انتشار باج‌افزار Hermes
q776

مجرمین سایبری در حال انتشار باج‌افزاری با نام Hermes هستند که از طریق ایمیل‌های اسپمی توزیع می‌شود که مجهز به اسناد Word محافظت شده با رمزعبور هستند. حملات باج‌افزار Hermes در حال گسترش است و با توسعه و بروزرسانی مداوم آن، درحال هدف قرار دادن کشورهای مختلفی است. در ماه‌های گذشته، هکرها باج‌افزار Hermes را از طریق اکسپلویت جدیدی منتشر کردند. نویسندگان این بدافزار ویژگی‌های زیادی مانند تغییر روش دریافت کلید تروجان، الگوریتم‌ها، کتابخانه‌های رمزگذاری و روش‌های توزیع را در نسخه‌های تکامل یافته این باج‌افزار اضافه کردند. همچنین، تکنیک‌های مختلف مبهم‌سازی نیز در آنها استفاده شده است تا شناسایی بدافزار توسط نرم‌افزارهای آنتی‌ویروس دور زده شود و بدافزار در سیستم پایدار بماند.
باج‌افزار Hermes از طریق ایمیل‌های اسپم منتشر می‌شود. ایمیل‌ها با پیام آگهی‌های استخدام، همراه با اسناد Word مخرب ارسال می‌شوند. پس از اینکه کاربر این اسناد را باز کند، رمزعبوری درخواست می‌شود که در متن ایمیل درج شده است. ایمیل‌ها از آدرسی با دامنه anjanabro.com ارسال می‌شوند.

q777

پس از باز شدن سند، در یک هشدار امنیتی از کاربر خواسته می‌شود تا کدهای ماکرو را فعال کند، تا فعالیت‌های مخرب سند آغاز شود.

q778

در ادامه یک درخواست HTTP ارسال می‌شود که فایل باج‌افزار Hermes را دریافت می‌کند. پس از اتمام فرایند آلوده‌سازی، فایل‌های قربانی رمزگذاری می‌شود و یک پیام روی دسکتاپ نمایش داده می‌شود. در این پیام مهاجم اعلام می‌کند که الگوریتم رمزگذاری RSA۲۰۴۸ با یک کلید عمومی است و قربانی باید باج خواسته شده را توسط بیت‌کوین پرداخت کند. همچنین کاربر می‌تواند یک فایل را برای آزمایش فرایند رمزگشایی بازیابی کند.

IoCها:

q779