ظهور باج‌افزار جدید عنکبوت

 

محققان امنیتی خانواده ی جدید از باج افزارها با نام عنکبوت را کشف کردند که در قالب اسناد آفیس توزیع شده و کاربران از بوسنی و هرزگوین، صربستان و کرواسی را هدف قرار داده است. ایمیل های هرزنامه طوری وانمود می کند که فرستنده در حال تلاش برای جمع آوری بدهی های خود از گیرنده است تا کاربر را فریب دهد تا پرونده ضمیمه را باز کند.


کدهای ماکروی مخرب که در اسناد آفیس تعبیه شده، یک اسکریپت پاورشل که با Base64 کدگذاری شده را اجرا کرده و بار داده‌ی مخرب را دانلود می‌کند. اگر باج‌افزار موفق شود که سیستم قربانی را آلوده کند، رمزنگاری تمامی فایل‌ها را آغاز کرده و به انتهای تمامی فایل‌های رمزنگاری‌شده، پسوند .spider را اضافه می‌کند. 


برای این باج‌افزار یک واسط رمزگشایی نیز طراحی شده که کاربر با وارد کردن کلیدهای رمزنگاری می‌تواند فایل‌های رمزنگاری‌شده را بازیابی کند. به گفته‌ی محققان امنیتی، این بدافزار پردازه‌های سیستمی را مانیتور کرده و از اجرای ابزارهایی مانند taskmgr ،procexp ،msconfig ،regedit ،cmd ،outlook ،winword ،excel و msaccess جلوگیری می‌کند. در فرآیند رمزنگاری نیز باج‌افزار از رمزنگاری فایل‌های موجود در برخی پوشه‌ها مانند tmp ،Videos ،winnt ،Program Files و برخی دیگر از پوشه‌ها خودداری می‌کند.


پس از اتمام فرآیند رمزنگاری، ابزار رمزگشایی این موضوع را به کاربر قربانی اطلاع داده و به او اعلام می‌کند که چگونه می‌تواند فایل‌های خود را بازیابی کند. بخش راهنما نیز نمایش داده شده و لینک‌ها و ارجاعات لازم برای پرداخت باج ارائه شده است. باجی که این بدافزار درخواست می‌کند تقریبا برابر با ۱۲۰ دلار است. 


همان‌طور که در چند سال اخیر مشاهده می‌شود، باج‌افزارها بیشتر و بیشتر شده و باید مدیران سازمان‌ها راه‌کارهای صحیحی را اتخاذ کنند. به‌عنوان مثال باید از پشتیبان‌گیری از فایل‌ها مهم و حساس اطمینان حاصل شود و به کاربران آموزش داده شود در اسناد آفیس، ماکروهایی که دارای امضای قابل اعتمادی نیستند را فعال نکرده و اجرا نکنند.
 

منبع

پست‌های مشابه

Leave a Comment

18 + 15 =