فا

‫ باج‌افزار سخنگو

باج‌افزار سخنگو


اخيراً در سطح شبكه اينترنت يك باج افزار جديد مشاهده شده است كه پس از رمزكردن موفقيت آميز فايل ها، اين اتفاق را به صورت صوتي به قرباني خبر مي دهد.
اين باج افزار كه نام آن cerber مي باشد، براي رمزكردن فايل ها از الگوريتم رمزنگاري AES استفاده مي كند و براي رمزگشايي فايل ها مبلغ 1.24 بيت كوين (تقريباً معادل 500 دلار) از قرباني درخواست مي كند.
اين باج افزار پس از نفوذ به سيستم، ابتدا بررسي مي كند كه آيا قرباني در يكي از كشورهاي اروپاي شرقي قرار دارد يا خير. در صورتي كه قرباني در يكي از اين كشورها باشد، باج افزار عمل نمي كند و سيستم را آلوده نمي كند. ولي اگر قرباني در كشوري به غير از كشورهاي اروپاي شرقي قرار داشته باشد، باج افزار خودش را به عنوان يك فايل اجرايي تصادفي(.exe) بر روي سيستم قرباني نصب مي كند. اين فايل به صورتي كدنويسي شده است كه هر يك دقيقه يك بار اجرا مي شود. در هر بار اجراي اين فايل يك پيغام خطاي جعلي به صورت تصادفي انتخاب و نمايش داده مي شود و تلاش مي كند تا كاربر را وادار به خاموش كردن و يا restart كردن سيستم كند. در زير نمونه اي از اين پيام ها نشان داده شده است:
You are about to be logged off

This directory service is shutting down, and cannot take ownership of new floating single-master operation roles.

اين پيغام ها به طور مرتب تكرار مي شوند تا اينكه كاربر سيستم را بازنشاني كند. هنگامي‌كه كاربر سيستم را خاموش و يا بازنشاني كند، زماني كه سيستم دوباره راه اندازي مي شود به درون محيط safe mode هدايت مي-شود. پس از وارد شدن به اين محيط سيستم reset مي شود و به طور معمول شروع به كار مي كند. بعد از اين مرحله باج افزار شروع به رمزكردن فايل ها مي كند و به هر كدام از آن ها پسوند .CERBER را اضافه مي‌كند.
البته اين باج افزار كارهاي ديگري نيز انجام مي دهد. باج افزار cerber قادر به اسكن كل سيستم و شناسايي پوشه هاي به اشتراك گذاشته شده و رمزنگاري تمامي اطلاعات موجود بر روي آن‌ها مي باشد. اگر در تنظيمات مربوط به شبكه، network setting درون فايل تنظيمات بر روي مقدار 1 تنظيم شده باشد، باج افزار cerber شروع به جستجو و رمزنگاري تمامي مكان هاي به اشتراك گذاشته شده و قابل دسترس بر روي شبكه مي‌كند (حتي اگر اين مكان ها بر روي سيستم map نشده باشند).






البته به گفته محققان، اين ويژگي در حال حاضر غيرفعال مي باشد. به هر حال به مديران شبكه توصيه مي‌شود كه تنظيمات مربوط به مكان هاي به اشتراك گذاشته شده در شبكه را به طور دقيق بررسي و تنظيم كنند.
هنگامي كه باج افزار فايل هاي مورد نظرش را به طور موفقيت آميز رمز كرد، سه فايل توليد ميكند. يكي از اين فايلها با نام # DECRYPT MY FILES #.vbs بوده كه حاوي يك كد VBScript مي باشد. اين كد كه در زير آورده شده است به سيستم اين امكان را مي دهد كه پيغامهاي مورد نظر باج افزار را براي فرد قرباني به صورت صوتي پخش كند.





در حال حاضر در مورد اين باج افزار هيچ روشي به طور رايگان براي بازگرداندن فايل هاي رمزشده وجود ندارد و تنها راه، پرداخت مبلغ مورد درخواست باج افزار مي باشد. نكته قابل توجه اين است كه اگر مبلغ مورد نظر در مدت زمان يك هفته پرداخت نگردد، اين مبلغ دو برابر مي شود.
اين باج افزار ضمن رمزنگاري فايل هاي موجود در مكان هاي به اشتراك گذاشته شده در شبكه، با دوازده زبان مختلف نيز سازگار مي باشد. اين ويژگي ها گواه پيچيده تر شدن باج افزارها با گذشت زمان مي باشند.
از اين‌رو اكيداً توصيه مي شود كه كاربران به طور متناوب از اطلاعات حساس خود نسخه پشتيبان تهيه نمايند. همچنين براي جلوگيري از آلوده شدن سيستم از كليك بر روي لينك هاي مشكوك خودداري نموده و آنتي ويروس سيستم را به طور مرتب به روزرساني كنند.


نظرات

بدون نظر
شما برای نظر دادن باید وارد شوید

نوشته

 
تاریخ ایجاد: 27 اسفند 1394

دسته‌ها

امتیاز

امتیاز شما
تعداد امتیازها: 0