مخفی سازی اجزا در داخل فایل های Image توسط باج افزار SyncCrypt

اخیراٌ باج افزاری کشف شده است که اجزایش را در داخل فایل های Image مخفی می کند و توسط آنتی ویروس تشخیص داده نمی شود. SyncCrypt باج افزاری است که از طریق ایمیل های اسپم پخش شده است. این ایمیل ها دارای الصاقاتWSF می باشد. یک بار که الصاقات اجرا شود، جاوا اسکریپت جاسازی شده در آن، تصاویر بی‌خطر را از مناطق خاصی دریافت کرده و اجزای مخرب مخفی‌شده در آن را استخراج می کند. اجزای باج افزار در داخل Image به شکل فایل های زیپ ذخیره شده اند و در صورت دسترسی کاربر به فایل ها از طریق مرورگر، قابل تشخیص نیست. فایل جاوا اسکریپت فایل های Image را دانلود و بخش های مخرب ( sync.exe، readme.html، readme.png ) را استخراج می کند.

فایل WSF یک وظیفه زمانبندی شده ویندوزی به نام Sync درست می کند. یکبار که فایل sync.exe اجرا شود، سیستم قربانی را برای فایل های معینی اسکن کرده و با الگوریتم AES رمز می کند. بد افزار، کلید AES استفاده شده را با یک کلید رمز عمومی RSA-4096 جاسازی شده، رمز می کند.

باج افزار به ۳۵۰ نوع فایل حمله کرده و پسوند .kk را بعد از عمل رمزنگاری به آن اختصاص می دهد. در این تهدید از فایل های قرار گرفته در محل های خاص شامل /windows/ ، /Program files(x86)/ ، /Program files/ ، /programdata/ ، /winnt/ ، /system volume information/ ، /desktop/ ، /readme/ و /$recyle.bin چشم پوشی می کند.

باج افزار ۴۳۰ دلار درخواست می کند تا کلید رمزگشایی را ارائه دهد. توزیع این باج افزار به دلیل قابلیت ردنمودن تشخیص، خیلی موثر می باشد. تنها یکی از ۵۸ فروشنده در virustotal قادر خواهد بود Image های مخرب را در زمان تجزیه و تحلیل، تشخیص دهد. از طرف دیگر نرخ تشخیص Sync.exe 28 از ۶۳ می باشد.

Related posts

Leave a Comment

دوازده + 15 =