کشف باج‌افزار جدید با نام FOX

امتیاز کاربران

ستاره فعالستاره فعالستاره فعالستاره فعالستاره فعال
 

کشف باج‌افزار جدید با نام FOX

q866
نوع جدیدی از باج‌افزار Matrix با نام FOX کشف شده است که نام فایل‌های رمزگذاری شده را تغییر می‌دهد و پسوند FOX. را به آن‌ها اضافه می‌کند. این باج‌افزارهمه فایل ها را بررسی می کند تا باز نباشند و برای رمزگذاری در دسترس باشند و به خاطر این فرآیند زمان‌بر، سرعت رمزگذاری کمتر و شناسایی باج‌افزار راحت‌تر انجام شود.
این باج‌افزار توسط MalwareHunterTeam کشف شده است و از طریق سرویس Remote Desktop وارد سیستم می‌شود. مهاجمین با اسکن آدرس‌های IP، سرویس‌های RDP باز را پیدا می‌کنند و سپس با روش‌های brute force گذرواژه آن‌را بدست می‌آورند. پس از دسترسی مهاجم به سیستم، باج‌افزار بصورت دستی نصب می‌شود و فرایند نصب و رمزگذاری آن توسط کاربر قابل مشاهده است.
باج‌افزار Fox ویرایشی از باج‌افزار Matrix است که با سرور C&C ارتباطات زیادی برقرار و با نمایش کنسول‌های مختلف، بروزرسانی وضعیت و فرایند رمزگذاری را ارائه می‌کند. در این فرایند دو کنسول نمایش داده می‌شود که پنجره اول بروزرسانی وضعیت و فرایند رمزگذاری و پنجره دوم جستجو برای یافتن سیستم‌های به اشتراک گذاشته شده در دسترس در شبکه را نمایش می‌دهد.

q867

q868

سپس باج‌افزار یک فایل batch را منتقل می‌کند که این فایل از باز شدن فایل‌هایی که در حال رمزگذاری هستند جلوگیری می‌کند. پس از آن نام فایل رمزگذاری شده تغییر می‌کند و پسوند .FOX. به آن اضافه می‌شود. برای مثال نام یک فایل رمزگذاری شده بصورت PabFox@ protonmail.com].cAE۵V۴FC-wwWaojxY.FOX] تغییر می‌کند. در تصویر زیر نمونه‌ای از یک پوشه رمز شده قابل مشاهده است:

q869

در هر پوشه، یک فایل با نام FOX_README#.rtf# ایجاد می‌شود که نحوه ارتباط با مهاجم و پرداخت باج در آن درج شده است.
پس زمینه دسکتاپ نیز به عکس زیر تغییر می‌کند که محتوای آن نیز مربوط به متن باج‌خواهی است:

q870

در ادامه باج‌افزار با ایجاد فرآیندهای زمانبندی شده، ویژگی‌های تعمیر و بازیابی رایانه را غیرفعال می‌کند.
همانطور که پیشتر گفته شد، نکته مثبت این باج‌افزار فرایند کند آن در رمزگذاری است که شناسایی آن را آسان‌تر می‌کند.
برای محافظت در برابر این باج‌افزار توصیه می‌شود که هشدارهای امنیتی جدی گرفته شوند. همچنین، ارتباط با سرویس Remote Desktop در صورت استفاده، از طریق اتصال امن برقرار شود.

IoCها:
هش:
۰b۰۳bf۱c۷b۵۹۶a۸۶۲۹۷۸۹۹۹eebfa۰۷۰۳e۶de۴۸۹۱۲c۹a۵۷e۲fed۳ae۵cd۷۴۷bea۷ •
فایل‌ها:
FOX_README#.rtf# •
AppData%\random.vbs% •
AppData%\random.bat% •
AppData%\random.bmp% •
DownloadedFolder%\.exe% •
DownloadedFolder%\.bat% •
ایمیل‌های مرتبط:
این آدرس ایمیل توسط spambots حفاظت می شود. برای دیدن شما نیاز به جاوا اسکریپت دارید
این آدرس ایمیل توسط spambots حفاظت می شود. برای دیدن شما نیاز به جاوا اسکریپت دارید
این آدرس ایمیل توسط spambots حفاظت می شود. برای دیدن شما نیاز به جاوا اسکریپت دارید

منبع:
/https://www.bleepingcomputer.com/news/security/new-fox-ransomware-matrix-variant-tries-its-best-to-close-all-file-handles