مراقب باج افزار نابود کننده فایل با نام Armage باشید!

Coverpage-650x390آزمایشگاه های امنیتی کوییک هیل یک باج افزار جدید به نام Armage شناسایی کرده است. این باج افزار پسوند ‘.Armage’ را به فایل هایی که رمزگذاری می کند می افزاید.

باج افزار Armage از الگوریتم رمزنگاری AES-256 برای رمزگذاری فایل ها استفاده می کند تا غیرقابل استفاده شوند. آن را از طریق هرزنامه های ایمیل و فایل های متنی مخرب منتشر می کند.

آنالیز فنی
هنگامی که بر روی کامپیوتر آلوده اجرا می شود، باج افزار Armage پیام خط فرمان الگوریتم رمزنگاری مورد استفاده خود را باز می کند. شکل ۱ را ببینید.

دستور خط فرمان

شکل ۱٫ دستور خط فرمان

باج افزار برای انجام فعالیت های مخرب و یا رمزگذاری داده ها هیچ گونه مصنوعی را رها نمی کند. کل فعالیت های مخرب (رمزنگاری) توسط فایل مادر خود انجام می شود.

پس از حمله، همانطور که در شکل ۲ نشان داده شده باج افزار با استفاده از Windows API FindFirstFileA، برای رمز گشایی داده ها اولین فایل را به صورت الفبایی جستجو می کند، و برای یافتن فایل بعدی همانطور که در شکل ۳ نشان داده شده است از FindNextFileA API استفاده می کند.

شکل 2. FindFirstfileA API استفاده شده است

شکل ۲٫ FindFirstfileA API استفاده شده است

شکل 3. API FindNextFileA برای یافتن فایل ها به صورت بازگشتی استفاده می شود

شکل ۳٫ API FindNextFileA برای یافتن فایل ها به صورت بازگشتی استفاده می شود

پس از رمزگذاری داده ها از پوشه، Armage فرمت ‘Notice.txt’ را رها می کند- یک هشدار باج با سایر جزئیات پرداخت باج ذکر می شود. علاوه بر این، باج افزار فرمت “Notice.txt” را در همه پوشه هایی که داده ها رمزنگاری شده اند، رها می کند.

شکل 4. کد مورد استفاده برای ایجاد یک فایل جدید 'Notice.txt'

شکل ۴٫ کد مورد استفاده برای ایجاد یک فایل جدید ‘Notice.txt’

شکل 5. کد برای نشان دادن جزئیات به قربانی استفاده می شود.

شکل ۵٫ کد برای نشان دادن جزئیات به قربانی استفاده می شود.

هشدار باج نیز در زیر ذکر شده است.

‘فایل هایتان با الگوریتم AES-256 رمزنگاری شده است. برای دریافت کلید رمز به ایمیل: armagedosevin@aol.com پیام بفرستید. ‘

براساس آنالیز فایل PE، متوجه شدیم که باج افزار خود را درون فرآیندهایی که با امتیازات مدیریتی اجرا می شوند تزریق می کند تا بتواند کپی های سایه را با استفاده از فرمان ‘vssadmin delete shadows / all’ حذف کند.

این دستور برنامه vssadmin.exe را اجرا می کند و تمام نسخه ها را بی صدا می کند. شکل ۵ کد مورد استفاده برای حذف کدهای سایه را نشان می دهد.

شکل 6. کد مورد استفاده برای حذف کپی های سایه

شکل ۶٫ کد مورد استفاده برای حذف کپی های سایه

Api-New-300x168

شکل ۷٫ API برای رمزگذاری فایل ها استفاده می شود

در قسمت پایین API های مورد استفاده توسط باج افزار برای رمزگذاری داده ها استفاده می شود

شکل 8. فایل های رمز شده با فرمت '.armage'

شکل ۸٫ فایل های رمز شده با فرمت ‘.armage’

چگونه کوییک هیل از کاربران خود در برابر باج افزار Armor محافظت می کند

کوییک هیل با موفقیت Armage را با لایه های محافظتی چند لایه زیر مسدود می کند:

محفاظت از ویروس
شناسایی مبتنی بر رفتار
ضد-باج افزار

شکل 9. سیستم شناسایی مبتنی بر رفتار، تروجان را مسدود می کند.

شکل ۹٫ سیستم شناسایی مبتنی بر رفتار، تروجان را مسدود می کند.

شکل 10. ابزار ضد-باج افزار، بدافزار را نیز مسدود می کند

شکل ۱۰٫ ابزار ضد-باج افزار، بدافزار را نیز مسدود می کند

چگونه در برابر حملات باج افزار ایمن بمانیم

  • همیشه از داده های مهم خود در درایو های خارجی مانند هارد دیسک و فلش پشتیبان تهیه کنید. از یک سرویس ابری قابل اطمینان برای ذخیره داده ها استفاده کنید.
    هرگز نسخه های نرم افزاری رایگان و یا کرک شده را نصب نکنید.
    هرگز صفحات تبلیغاتی نشان داده شده در وبسایت ها را بدون دانستن اینکه آنها واقعی هستند، باز نکنید.
    هنگام استفاده از MS Office، ماکروها را غیرفعال کنید.
    به منظور محافظت از سیستم خود در برابر تهدیدات ناشناخته، آنتی ویروس خود را به روز کنید.
    هرگز بر روی لینک ها یا فایل های دانلودی موجود در ایمیل های ناشناخته یا ناخواسته کلیک نکنید.
این نوشته در تهديدات جديد ارسال و , , , , , , , , , , , برچسب شده است. افزودن پیوند یکتا به علاقه‌مندی‌ها.

پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

شما می‌توانید از این دستورات HTML استفاده کنید: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>