رمزگذاری فایل‌ها یا اجرای استخراج‌کننده؛ تصمیم‌گیرنده: Rakhni!

امتیاز کاربران

ستاره غیر فعالستاره غیر فعالستاره غیر فعالستاره غیر فعالستاره غیر فعال
 

رمزگذاری فایل‌ها یا اجرای استخراج‌کننده؛ تصمیم‌گیرنده: Rakhni!
q728

محققان از کشف نسخه جدیدی از باج‌افزار Rakhni خبر داده‌اند که بسته به تنظیمات و توانایی سخت‌افزاری دستگاه آلوده شده اقدام به رمزگذاری فایل‌های کاربر یا اجرای یک استخراج‌کننده ارز رمز می‌کند.

باج‌افزار Rakhni به زبان برنامه‌نویسی Delphi نوشته شده است.

بر اساس گزارشی که شرکت کسپرسکی آن را منتشر کرده نسخه جدید Rakhni از طریق ایمیل‌های فیشینگ با پیوست فایل Word کاربران را عمدتاً در کشور روسیه هدف قرار می‌دهد.

فایل پیوست شده، حاوی یک نشان جعلی PDF است که در صورت کلیک کاربر بر روی آن کد مخرب Rakhni به اجرا در می‌آید.

q729

https://newsroom.shabakeh.net/wp-content/uploads/2018/07/180702-rakhni-3.png

در ادامه، Rakhni اقدام به اجرای یکی از قابلیت‌های زیر می‌کند:

رمزگذاری – در صورت وجود پوشه‌ای با نام Bitcoin در بخش %AppData%، عملکرد باج‌افزاری Rakhni فعال می‌شود. بخش رمزگذار Rakhni با نام‌های زیر شناسایی می‌شود:
Kaspersky

Trojan.Win32.Ebowla.il

استخراج ارز رمز – در صورت عدم وجود پوشه Bitcoin و مجهز بودن دستگاه به حداقل دو پردازشگر، ابزار MinerGate برای استخراج ارز رمز با استفاده از منابع دستگاه اما به نفع نویسندگان Rakhni اجرا می‌شود. این ابزار استخراج‌کننده با نام‌های زیر شناسایی می‌شود:
ESET-NOD32

a variant of Win32/CoinMiner.DV potentially unwanted

Kaspersky

not-a-virus:HEUR:RiskTool.Win32.BitMiner.gen

انتشار در سطح شبکه – در صورت عدم وجود پوشه Bitcoin و وجود تنها یک پردازشگر، Rakhni تلاش می‌کند تا خود را در سطح شبکه از طریق منابع اشتراکی منتشر کند.
همچنین نسخه جدید مجهز به قابلیتی برای انجام عملیات جاسوسی است که در جریان آن فهرستی از پروسه‌های اجرا شده به همراه تصویری از صفحه نمایش کاربر به سرور فرماندهی مهاجمان ارسال می‌گردد.

Rakhni از جمله باج‌افزارهایی است که توانایی شناسایی بسترهای مجازی و بسترهای موسوم به قرنطینه امن (Sandbox) را دارا می‌باشد.

مشروح گزارش کسپرسکی در لینک فوق قابل مطالعه است. https://securelist.com/to-crypt-or-to-mine-that-is-the-question/86307