امتیاز کاربران

ستاره غیر فعالستاره غیر فعالستاره غیر فعالستاره غیر فعالستاره غیر فعال
 

 

همواره به ما توصیه می‌شود که سیستم‌عامل و نرم‌افزارهایمان را مرتب به روزرسانی کنیم. نقاط ضعف نرم‌افزارها اگر به موقع رفع نشوند می‌توانند در حملات مورد استفاده قرار بگیرند. با این حال یک باج‌افزار جدید رفتاری متفاوت و خاص دارد: «شبح» یا fantom  اساس مفهوم به روزرسانی را زیر سوال برده است.
از نقطه نظر فنی، شبح تقریبا مانند سایر باج‌افزارهاست و برمبنای EDA2 کد منبع باز باج‌افزارها که توسط Utku Sen نوشته شده، ساخته شده است. در واقع شبح یکی از باج‌افزارهایی است که کمی متفاوت از باقی باج‌افزارها رفتار می‌کند و عملکرد خود را پنهان می‌کند. اطلاعات دقیقی از نحوه‌ی توزیع این بدافزار وجود ندارد اما پس از نفوذ به سیستم، روند معمول باج‌افزاری خود را شروع می‌کند. ایجاد یک کلید رمزنگاری و رمزنگاری این کلید و ذخیره‌سازی آن بر روی سرور  C&C جهت استفاده‌ در زمان‌های بعدی.
سپس این تروجان کامپیوتر را اسکن کرده و به جست‌وجوی  ۳۵۰ نوع فایل محبوب اداری می‌پردازد. با استفاده از کلید ایجاد شده که در بالا توضیح داده شد، فایل‌ها را رمزنگاری می‌کند و پسوند .fantom را به آن‌ها اضافه می‌کند. با این حال جالب‌ترین اتفاق نه عملکرد مخفیانه و نامحسوس آن، بلکه که عملی است که دقیقا در مقابل چشمان قربانی انجام می‌دهد.
جالب است بدانید که این باج‌افزار فعالیت خود را در پسِ به روزرسانی‌های حیاتی ویندوز پنهان می‌کند. و زمانی که اجرا می‌شود، دو برنامه را اجرا می‌کند.

 

      1- برنامه‌ی رمزنگار

      2- برنامه‌ی کوچکی که با نام عادی windowsUpdate.exe است. این برنامه‌ صفحه‌ی آبی ویندوز که مربوط به روزرسانی است را شبیه‌سازی می‌کند. در این حین شبح در حال رمزنگاری کردن فایل‌های کاربر در پس‌زمینه است و صفحه‌ی به روزرسانی ویندوز در واقع پیامی است جهت اعلام روند رمزنگاری فایل‌ها.

 

 

window 600x343

 

با این روش هر گونه توجه به فعالیت‌های مشکوک را منحرف می‌کند و امکان دیدن و دسترسی به برنامه‌های پس‌زمینه را از قربانی می‌گیرد. در غیر این صورت کاربر متوجه مورد مشکوکی می‌شد و می‌توانست از آن خارج و مانع اجرای آن شود.
پس از اتمام کار، شبح فایل‌های اجرایی‌اش را پاک می‌کند و در هر فولدر یک فایل با پسوند .html با یک یادداشت قرار می‌دهد و تصویر پس‌زمینه‌ی ویندوز را به پیام رمزنگاری‌شدن فایل‌ها و درخواست باج جهت رمزگشایی آن‌ها تغییر می‌دهد. با توجه به ایمیل قرار داده‌شده در پیام yandex.ru به احتمال زیاد نویسنده‌ی آن روس بوده است که از قرار معلوم انگلیسی بسیار ضعیفی داشته است.
سایت Bleeping Computer  بر این نظر است که گرامر و شیوه‌ی نگارش آن بدترین نوع در باج‌افزارها بوده که تا کنون مشاهده شده است.

 

WIN1 600x293


خبر بد این است که هیچ راهی برای رمزگشایی فایل‌های رمزنگاری‌شده توسط این باج‌افزار به جز باج‌دهی وجود ندارد. و ما قویا تاکید می‌کنیم که این کار را نکنید. پس بهترین راه‌حل این است که از ابتدا قربانی این باج‌افزارها نشوید.

 

سه راهنمایی ما به شما:
۱- به صورت منظم از فایل‌هایتان نسخه‌ی پشتیبان تهیه کنید و آن‌ها را بر روی هارددیسکی قرار دهید که متصل به دستگاهی نیست. با این روش مطمئن خواهید بود که حتی اگر فایل‌های شما رمزنگاری شوند به تمامی فایل‌هایتان هم‌چنان دسترسی دارید.

2- مراقب باشید فایل‌های ضمیمه‌ی ایمیل‌های مشکوک را باز نکنید. از سایت‌ها مشکوک دوری کنید و بر روی تبلیغات مشکوک سایت‌ها کلیک نکنید. احتمالا شبح مانند هر باج‌افزاری از این روش‌ها جهت نفوذ به سیستم‌ها استفاده می کند.
3- از یک راه‌کار امنیتی مطمئن استفاده کنید و مطمئن شوید که system watcher شما روشن است.

 

 

 

به امید موفقیت

امور پشتیبانی مشترکین    

شرکت مهندسی و ایمنی شبکه دژپاد

تهران   شهرک غرب، خیابان ارغوان غربی، خیابان پرتو، نبش خیابان پامچال 2، پلاک 19، واحد 1

تلفن : 26654823(21)  , 22137612(21)

نمابر :115- 22137612(21)

پست الکترونیک : این آدرس ایمیل توسط spambots حفاظت می شود. برای دیدن شما نیاز به جاوا اسکریپت دارید

وب سایت : www.dejpaad.com