امتیاز کاربران

ستاره غیر فعالستاره غیر فعالستاره غیر فعالستاره غیر فعالستاره غیر فعال
 

 

petya rnsomware

 

نسخه جدید باج‌افزار Petya با نام Goldeneye مشغول فعالیت است.


اخیراً نسخه‌ جدیدی از باج‌افزار Petya ظاهر شد که نام آن Goldeneye است. محققان امنیتی گفته‌اند که در مقایسه با بدافزار اصلی تقاوت زیادی در این باج‌افزار ایجاد نشده‌است.

در اسفندماه سال پیش این باج‌افزار برای اولین‌بار مورد بررسی قرار گرفت. این باج‌افزار پرونده‌های کاربران را رمزنگاری نمی‌کرد بلکه با ویرایش در پرونده‌ رکورد بوت اصلی (MBR) در یک فرایند دو‌مرحله‌ای، دسترسی به کل هارد دیسک را غیرممکن می‌ساخت. دو ماه بعد نیز نویسندگان این بدافزار تصمیم گرفتند تا آن را با یک باج‌افزار دیگر به نام Mischa بسته‌بندی کنند. باج‌افزار جدید زمانی‌که عملیات Petya با شکست مواجه می‌شد، عملیات خود را شروع می‌کرد.

در تیرماه نیز این بسته‌ بدافزاری در قالب باج‌افزار به‌عنوان سرویس در بازارهای وب تاریک به فروش می‌رسید. در نسخه‌ جدید تفاوتی زیادی با نسخه‌ اصلی باج‌افزار وجود ندارد و تنها نام آن به Goldeneye تغییر کرده‌است

این باج‌افزار درحال‌حاضر از طریق هرزنامه‌هایی با محتوای قالب رزومه توزیع شده و کاربران در شرکت‌های آلمانی را هدف قرار داده‌است. این هرزنامه حاوی دو ضمیمه است. یکی از این ضمیمه‌ها یک رزومه‌ جعلی و دیگری یک سند اکسل حاوی ماکروی مخرب است. ماکروی مخرب پس از فعال‌سازی توسط قربانی، بدافزار موردنظر را بارگیری خواهدکرد.

به‌محض اینکه قربانی ماکروها را فعال کند، یک رشته‌ base64 اجرا شده و در یک پوشه‌موقتی در قالب یک پرونده‌ اجرایی ذخیره می‌شود. این پرونده در ادامه اجرا شده و رمزنگاری پرونده‌های قربانی را آغاز می‌کند. پس از تکمیل فرایند رمزنگاری پرونده‌ها، بدافزار تلاش می‌کند تا MBR را ویرایش کند. تنها تفاوت نسخه‌ جدید با نسخه‌ قبلی باج‌افزار در این است که نسخه‌ اولیه ابتدا MBR را تغییر داده و سپس پرونده‌ها را رمزنگاری می‌کند.

باج‌افزار Goldeneye به انتهای پرونده‌های رمزنگاری‌شده یک رشته‌ ۸ نویسه‌ای تصادفی را اضافه می‌کند و در ادامه با یک بارگیری‌کننده‌ بوت مخصوص،MBR  را تغییر می‌دهد. پس از اینکه رمزنگاری پرونده‌ها تمام شد، تنها برای مدت کوتاهی پیغام باج‌خواهی نمایش داده می‌شود به‌خاطر اینکه بدافزار می‌خواهد برای رمزنگاری MFT2 مربوط به درایو، رایانه را مجدد راه‌اندازی کند تا قربانی به پرونده‌ها دسترسی نداشته‌باشد.

صفحه‌ نمایش باج در باج‌افزار جدید همان صفحه‌ بدافزار اولیه است و تنها تغییرات خیلی کمی در آن ایجاد شده‌است. کلمه‌ پرونده‌ها به هارد دیسک‌ها تغییر کرده‌است. در نسخه‌ اولیه از رنگ قرمز استفاده شده بود. در به‌روزرسانی بعدی سبز و در آخرین به‌روزرسانی زرد شده است. باج‌افزار Goldeneye از قربانی ۱۰۰۰ دلار باج درخواست کرده و او را به سمت یک پورتال در وب تاریک هدایت می‌کند که گزینه‌ پشتیبانی نیز در آن وجود دارد.

 

 

 

به امید موفقیت

امور پشتیبانی مشترکین    

شرکت مهندسی و ایمنی شبکه دژپاد

تهران   شهرک غرب، خیابان ارغوان غربی، خیابان پرتو، نبش خیابان پامچال 2، پلاک 19، واحد 1

تلفن : 26654823(21)  , 22137612(21)

نمابر :115- 22137612(21)

پست الکترونیک : این آدرس ایمیل توسط spambots حفاظت می شود. برای دیدن شما نیاز به جاوا اسکریپت دارید

وب سایت : www.dejpaad.com