ایتنا- این بدافزار موذی، خود را به جای آپدیت ویندوز جا میزند و در سیستمتان جا خوش میکند!
شناسایی نرم افزار مخرب جدید
سوء استفاده از آپدیت ویندوز
خبرگزاری مهر , 17 شهريور 1395 ساعت 13:13
ایتنا- این بدافزار موذی، خود را به جای آپدیت ویندوز جا میزند و در سیستمتان جا خوش میکند!
نرمافزار مخربی (باجافزار) که با استفاده از شکل مبدل، شبیه آپدیت سیستم عامل ویندوز عمل کرده و به سیستمهای رایانهای کاربران نفوذ میکند، شناسایی شد.
به گزارش ایتنا از مهر به نقل از کسپرسکی آنلاین، Fantom باجافزاری است که خود را به شکل آپدیت ویندوز نشان میدهد.
اگرچه اغلب به کاربران توصیه میشود که سیستم عامل و نرمافزار خود را به طور منظم بهروزرسانی کنند اما اگر آسیبپذیریها رفع نشود، می توانند مورد استفاده نرمافزارهای مخرب قرار گیرند. «فانتوم » نیز یک نمونه نادر از باجافزارهایی است که از ایده آپدیتها سوء استفاده میکند.
از نظر فنی، Fantom بسیار شبیه دیگر باج افزارها است. این باج افزار در واقع بر پایه کد اپن سورس EDA2، که توسط Utku Sen به عنوان بخشی از یک آزمایش شکست خورده توسعه داده شد، ایجاد شده است. این نمونه یکی از چندین کریپتولاکرهای 2۲ است اما با این فرق که Fantom در فعالیتهایش تلاش میکند خود را به شکل مبدلی درآورد و شناسایی نشود.
این باجافزار با لباس مبدل به عنوان یک بهروزرسان مهم در ویندوز نمایان میشود و هنگامی که نرمافزار مخرب شروع به کار میکند، تنها یک فعالیت عملی نمیشود، بلکه دو برنامه اجرا می شود. به این معنی که هم رمزگذاری انجام می شود و هم برنامه کوچکی با اسم WindowsUpdate.exe را نشان میدهد.
آپدیت جعلی ویندوز
شیوه شیوع این باجافزار تاکنون شناسایی نشده است اما مراکز تحقیقاتی امنیتی اعلام کردهاند که پس از آنکه این باجافزار به یک سیستم نفوذ کند، روال آن همانند دیگر باج افزارها خواهد بود. به این شیوه که یک کلید رمزنگاری ایجاد میکند، آن را رمزنگاری کرده و در سرور فرمان و کنترل به منظور استفاده بعدی، ذخیره میکند.
زمانی که تروجان کامپیوتر را اسکن کرد، به دنبال فایلهایی همچون فایلهای اداری، صوتی و عکس میگردد که بتواند آنها را رمزگذاری کند. پس از این مرحله اسم فایلها به fantom تغییر مییابد و پس از آن به منظور واقعی بودن این شبیه سازی، صفحه نمایش به روزرسانی ویندوز واقعی نشان داده میشود؛ در حالی که fantom در حال رمزنگاری فایلهای کاربر در پس زمینه است.
این ترفند طوری طراحی شده که ذهن قربانیان از فعالیتهای مشکوک بر روی کامپیوتر خود منحرف کند. آپدیت جعلی ویندوز در حالت فول اسکرین اجرا میشود که در عین حال دسترسی به دیگر برنامههای دیگر محدود میشود. اگر کاربران در این حین مشکوک شوند آنها می توانند با فشار دادن دکمه Ctrl+F4 صفحه فول اسکرین را کوچک کنند اما حتی این کار هم کفایت نمیکند و رمزنگاری فایل ها متوقف نمیشود.
هنگامی که رمزنگاری تمام شد، fantom تمام رد خود را از بین می برد (فایل های اجرایی را حذف می کند)، یک یادداشت .html ransom ایجاد می کند، از آن کپی می گیرد و در هر پوشهای قرار میدهد و تصویر دسکتاپ را با یک نوتیفیکیشن جایگزین میکند. مجرم یک آدرس ایمیلی را آماده میکند تا قربانی بتواند آن را به اصطلاح تاچ کند که در آن ایمیل، اطلاعاتی در مورد شرایط پرداخت و دستورالعمل های بیشتر ذکر شده است.
ارائه اطلاعات تماس معمولا برای هکرها به زبان روسی است. به هرحال موارد دیگر هم نشان میدهد که بیشتر جرایم ریشه در روسیه دارد. آدرس ایمیل Yandex.ru است و از نظر انگلیسیها چنین چیزی بسیار بد است.
چند پیشنهاد
در این نمونه هیچ راهی برای رمزگشایی فایلها به غیر از پرداخت باج وجود ندارد بنابراین، بهترین روش در وهله اول این است که از تبدیل شدن به یک قربانی جلوگیری شود.
پیشنهاد میشود از اطلاعات خود به طور منظم بکآپ گیری کنید، از فایل های بک آپ گیری شده یک نمونه کپی بگیرید و آن را در یک درایو خارجی که اتصال آن با اینترنت قطع است ذخیره کنید. داشتن بکآپ به این معنی است که شما قادر به بازگرداندن سیستم و فایلهای خود میشوید، حتی اگر کامپیوتر شما آلوده شده باشد.
احتیاط کنید، هرگز پیوست ایمیلهای مشکوک را باز نکنید. از وب سایتهای مشکوک دوری کنید و بر روی تبلیغات آنلاین مشکوک کلیک نکنید، Fantom هم مانند هر بدافزار دیگری ممکن است از هر راهی برای حمله به سیستم شما استفاده کند.
از یک راهکار امنیتی قوی و آنتیویروس استفاده کنید.
کد مطلب: 45265
آدرس مطلب: https://www.itna.ir/news/45265/شناسایی-نرم-افزار-مخرب-جدید