حمله باج‌افزار جدید Tycoon به کاربران ویندوز و لینوکس

۱۳۹۹/۳/۲۲ - ۲:۱۵

کارشناسان امنیتی هشدار داده‌اند که هکرها از یک باج‌افزار مبتنی بر جاوا به نام "Tycoon" برای هدف قرار دادن کاربران ویندوز و لینوکس به منظور قفل کردن فایل‌ها استفاده می‌کنند. این موضوع مشخص است که هکرها به طور مداوم به دنبال روش‌های جدیدی برای حمله به دیتاسنترها و سیستم‌های کاربران عادی برای سرقت داده‌ها و اطلاعات حساس هستند.


از آنجا که ویندوز مایکروسافت به عنوان پرکاردبردترین سیستم‌عامل شناخته می‌شود به همین دلیل هکرها آن را مورد هدف قرار می‌دهند و همچنین به سیستم‌عامل‌های دیگر مانند macOS و Linux توجه بیشتری دارند.
این باج‌افزار که از اواخر سال ۲۰۱۹ فعالیت خود را آغاز کرده است به زبان جاوا نوشته شده و ویژگی اصلی آن آلوده کردن کاربران ویندوز و لینوکس به یک اندازه است.
هکرها Tycoon را دررون یک فایل زیپ اصلاح شده پنهان می‌کنند و زمانیکه قربانی آن فایل را باز کرد تروجان اجرا می‌شود. آنها معمولا از سرور RDP و شبکه‌های آسیب‌پذیر استفاده می‌کنند تا به صورت پنهانی وارد سیستم شوند.
هنگامیه هکر موفق به اجرای باج‌افزار بر روی سیستم قربانی شد، تلاش برای ماندگاری در سیستم را آغاز می‌کند و برای این کار تزریق یک IFEO ‪(Image file execution options)‬ را در عملکرد صفحه کلید روی صفحه نمایش ویندوز انجام می‌دهد.
این باج‌افزار همچنین رمز عبور اکتیودایرکتوری را تغییر داده و آنتی‌ویروس را نیز غیرفعال می‌کند و سپس ابزار کاربردی ProcessHacker hacker-as-a-service را نصب می‌کند. پس از انجام تمام این مراحل، باج‌افزار شروع به رمزگذاری تمام داده‌های موجود در کامپیوتر و درایوهای شبکه می‌کند.

پس از اینکه تمام اقدامات به پایان رسید، باج‌افزار به طور خودکار کلید خصوصی را   برای هکر ارسال می‌کند و سپس این کلید خصوصی را از سیستم قربانی حذف می‌کند و در پایان نیز پیام غافلگیرانه‌ای را به قربانی نمایش می‌دهد.
فایل‌هایی که با باج‌افزار Tycoon رمزگذاری می‌شوند با دو پسوند جدید . grinch و . thanos مشخص می‌شوند.

برای محافظت در برابر این نوع بدافزارها و باج‌افزارها همیشه باید از مهمترین فایل‌های خود نسخه پشتیبان تهیه کنید و همچنین سیستم‌عامل و تمام برنامه‌های نصب شده را همواره بروز نمایید.
جدای از این اقدامات، باید متناسب با سیستم‌عامل خود آنتی‌ویروس مناسب ویندوز یا لینوکس را نصب کنید و در زمان دانلود هر فایل از طریق اینترنت باید مراقب باشید چراکه اکثر آنها حاوی بدافزار هستند.
در ادامه پسوندهای اضافه شده و امضاهای مورد استفاده مهاجمان آورده شده‌اند:
پسورد فایل‌های رمزگذاری شده:

  • thanos
  • grinch
  • redrum

امضاهای فایل‌های رمزگذاری شده:

  • happyny3.‎1
  • redrum3_0


منبع خبر: https://gbhackers.com/tycoon-ransomware