کشف یک باج‌افزار تازه از راه رسیده‎

امتیاز کاربران

ستاره فعالستاره فعالستاره فعالستاره فعالستاره فعال
 

q362

 

پژوهشگران، باج‌افزار در حال تکاملی به نام عنکبوت شناسایی کردند که توسط یک سند آفیس توزیع می‌شود.

به گزارش كارشناسان دژپاد ،پژوهشگران امنیتی گفته‌اند که هنگام تجزیه‌وتحلیل یک پویش بدافزاری جدید، خانواده‌ باج‌افزاری را کشف کردند که از اسناد جعلی برای توزیع استفاده می‌کند.

این تهدید جدید به نام عنکبوت توسط یک سند آفیس توزیع می‌شود که ظاهراً کاربران را در بوسنی و هرزگوین، صربستان و کرواسی هدف قرار می‌دهد. هرزنامه‌ها نشان می‌دهند که فرستنده در پی جمع‌آوری برخی بدهی‌ها از طرف گیرنده است تا کاربر را فریب دهد که پرونده‌ پیوست‌شده را باز کند.

آمیت مالک از شرکت Netskope، می‌گوید که کد ماکروی مبهم‌سازی‌شده که در سند آفیس جاسازی شده‌است، یک اسکریپت پاورشل رمزنگاری‌شده‌ Base64 را اجرا می‌کند تا بار داده‌ مخرب را بارگیری کند.

اگر این بدافزار موفق به آلوده کردن یک سامانه شود، شروع به رمزنگاری پرونده‌های کاربر می‌کند و «.spider» را به پرونده‌های آلوده اضافه می‌کند.

یک رمزگشا برای نمایش رابط کاربری طراحی شده‌است که به کاربران این امکان را می‌دهد که با استفاده از یک کلید رمزگشایی، پرونده‌ها را رمزگشایی کنند. لورنس آبرامز از شرکت BleepingComputer تشریح می‌کند که هم‌زمان با رمزنگار و تا زمانی که فرایند رمزنگاری کامل شود، این رمزگشا هم در پس‌زمینه اجرا می‌شود.

پس از اتمام فرایند رمزنگاری، رمزگشا یک هشدار نمایش می‌دهد که نحوه‌ رمزگشایی پرونده‌ها را به کاربران اطلاع می‌دهد. بخش کمکی نیز شامل پیوندها و ارجاع‌ها به منابع موردنیاز برای پرداخت است. باج درخواستی برای پرداخت حدود ۱۲۰ دلار است.

شرکت Netskope می‌گوید: «از آنجا که باج‌افزار در حال تکامل است، مدیران باید در مورد تاثیر باج‌افزار و اطمینان از حفاظت داده‌های سازمان با پشتیبان‌گیری منظم از داده‌های حساس به کارکنان آموزش دهند. علاوه‌بر نمایش ماکروها به‌صورت پیش‌فرض، کاربران باید در مورد اسنادی که تنها حاوی یک پیام برای فعال‌سازی ماکروها برای مشاهده‌ محتویات هستند، احتیاط کنند و همچنین ماکروهای بدون امضا و ماکروهای منابع نامعتبر را اجرا نکنند.»