مخفی سازی اجزا در داخل فایل های Image توسط باج افزار SyncCrypt

مخفی سازی اجزا در داخل فایل های Image توسط باج افزار SyncCrypt

یکشنبه, 20 آگوست, 2017 ساعت 8:58

اخیراٌ باج افزاری کشف شده است که اجزایش را در داخل فایل های Image مخفی می کند و توسط آنتی ویروس تشخیص داده نمی شود. SyncCrypt باج افزاری است که از طریق ایمیل های اسپم پخش شده است. این ایمیل ها دارای الصاقاتWSF می باشد. یک بار که الصاقات اجرا شود، جاوا اسکریپت جاسازی شده در آن، تصاویر بی‌خطر را از مناطق خاصی دریافت کرده و اجزای مخرب مخفی‌شده در آن را استخراج می کند. اجزای باج افزار در داخل Image به شکل فایل های زیپ ذخیره شده اند و در صورت دسترسی کاربر به فایل ها از طریق مرورگر، قابل تشخیص نیست. فایل جاوا اسکریپت فایل های Image را دانلود و بخش های مخرب ( sync.exe، readme.html، readme.png ) را استخراج می کند.

فایل WSF یک وظیفه زمانبندی شده ویندوزی به نام Sync درست می کند. یکبار که فایل sync.exe اجرا شود، سیستم قربانی را برای فایل های معینی اسکن کرده و با الگوریتم AES رمز می کند. بد افزار، کلید AES استفاده شده را با یک کلید رمز عمومی RSA-4096 جاسازی شده، رمز می کند.

باج افزار به 350 نوع فایل حمله کرده و پسوند .kk را بعد از عمل رمزنگاری به آن اختصاص می دهد. در این تهدید از فایل های قرار گرفته در محل های خاص شامل /windows/ ، /Program files(x86)/ ، /Program files/ ، /programdata/ ، /winnt/ ، /system volume information/ ، /desktop/ ، /readme/ و /$recyle.bin چشم پوشی می کند.

باج افزار 430 دلار درخواست می کند تا کلید رمزگشایی را ارائه دهد. توزیع این باج افزار به دلیل قابلیت ردنمودن تشخیص، خیلی موثر می باشد. تنها یکی از 58 فروشنده در virustotal قادر خواهد بود Image های مخرب را در زمان تجزیه و تحلیل، تشخیص دهد. از طرف دیگر نرخ تشخیص Sync.exe 28 از 63 می باشد.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

20 − 3 =