پرینت

ترفندهای نسخه جدید باج افزار Locky

در . ارسال شده در هشدارهای امنیتی

_نسخه_جدید_باج_افزار_Locky.jpg


شرکت پاندا سکیوریتی طی مقاله کوتاهی به معرفی ترفندهای خرابکاری آخرین نسخه از بدنام ترین خانواده باج افزارها بنام Locky پرداخته است. این نسخه جدید که به تازگی کشف شده توانایی خرابکاری در حالت آفلاین را دارد. یعنی نیازی به ارتباط با سرور C & C خود ندارند و میتوانند داده های روی سیستمهای آفلاین را نیز رمز نگاری کرده و باج خواهی کنند.

به گزارش روابط عمومی ایمن رایانه پندار به نقل از پاندا سکیوریتی اسپانیا باج افزار Locky بصورت یکجا حمله نمیکند بلکه ابتدا یک فایل دانلودر را وارد سیستم قربانی میکند. این فایل فقط توانایی دریافت و اجرای یک فایل .exe یا یک اسکریپت را دارد و قادر به انجام کار دیگری نیست. در نتیجه آنتی ویروس ها نیز با آن کاری ندارند. بطور مثال: حملات از طریق جاوا اسکریپت ها بدین صورت است که ابتدا یک فایل اجرایی کوچک که تنها میتواند فایل اجرایی خاصی را دانلود و اجرا کند، اجرا میشود سپس فایل اصلی که میتواند با ترفندهای مختلف و با پسوند های گمراه کننده محافظت شده باشد دانلود شده و در زمان مناسب اجرا میشود و نتیجه را خود میدانید. در مقالات قبلی از اهتمام مجرمان سایبری برای شناسایی نشدن توسط نرم افزارهای امنیتی سخن گفته ایم.

نحوه انجام یک حمله جدید

اکثر حملات جدید از طریق ایمیل صورت می پذیرد و غالبا یک فایل فشرده حاوی یک جاوا اسکریپت مثلا بنام: “utility_bills_copies <random characters>.js” به ایمیل پیوست شده است. هرچند نسخه های متفاوتی با توجه به موضوعات مختلف وجود دارد. مثال دیگری در عکس زیر مشاهده نمایید:


_نسخه_جدید_باج_افزار_Locky2.png

درون فایل فشرده فایل زیر است:


_نسخه_جدید_باج_افزار_Locky3.png

در نمونه های اخیر فایلی که دانلود میشود پسوند DLL دارد ( نسخه های قبلی پسوند .EXE بودند) سپس این فایل به کمک rundll32.exe ویندوز اجرا می شود. اولین بار این نسخه در اول شهریور ماه مشاهده شده است. تا کنون نیز بهمین روش فعالیت میکنند. همانطور که می بینید این گونه هر هفته یک موج آلودگی راه می اندازد:


_نسخه_جدید_باج_افزار_Locky4.png

سرزمین به شدت تحت تاثیر قرار

آزمایشگاه پاندا چند صد مورد حمله را در شمال و جنوب امریکا شناسایی و مسدود کرده است. نمونه هایی هم در آسیا و اروپا گزارش شده است. اما با توجه به سود آوری بالایی که این تجارت برای مجرمان دارد، پیش بینی میکنیم هجوم اینگونه حملات در هفته های آتی بیش تر شود. شما میتوانید چند نمونه هش فایل از انواع مختلفی از این نسخه ها را ببینید:

ransomware_list3 (3)

منبع: Panda Security

ارسال نظر


کد امنیتی
بارگزاری مجدد

cloud-banner 920231