باج افزار جدید Shrug2 مبتنی بر NET. که قابلیت رمزنگاری ۷۶ نوع فرمت فایل مختلف را دارد!
اخیراً سازندگان بدافزار راهی ساده برای توسعهی بدافزارها با استفاده از چارچوب NET. یافتهاند.
تحقیقات صورت گرفته نشان میدهد باجافزارهای ننگینی مانند SamSam، Lime و اکنون نیز Shrug2 با استفاده از چارچوب NET. ایجاد شدهاند.
باج افزار Shrug2 برای اولین بار در تاریخ ۶ جولای در قالب نرمافزارهای جعلی و بازیها به میدان آمد. و اکنون با قابلیتهای بیشتر بازگشته است!
نسخه جدید باج افزار تحت عنوان Shrug2 و با چارچوب NET. توسعه یافته است. این باجافزار به سیستم قربانی حمله کرده و در ازای بازگشایی فایلهای کاربر، ۷۰ دلار به صورت بیتکوین درخواست مینماید.
آلوده شدن به باج افزار Shrug2
باجافزار Shrug2 به همراه حاملهای آلودهکنندهای مانند ایمیلهای فیشینگ، پیوستهای ایمیل، پروتکل RDP، لینکهای تعبیه شده در متون و نیز وبسایتهای آلوده و دانلودها توزیع میگردد.
هنوز عامل اصلی انتشار این باج افزار شناسایی نشده است. به محض آلوده نمودن سیستم قربانی، باجافزار به دنبال یافتن اتصالات فعال اینترنت است، اگر سیستم قربانی به اینترنت متصل باشد، باج افزار با بررسی رجیستری، آلوده شدن سیستم به SHRUG2 را چک میکند.
اگر سیستم آلوده نشده باشد، باج افزار در رجیستری، «[ShrugTwo]» را ایجاد نموده و سپس تاریخ و زمانی که سیستم توسط باجافزار آلوده شده است را خوانده، و بر اساس این تاریخ و زمان، یک مهلت زمانی برای کاربر برای پرداخت باج تعیین میکند. این باج افزار از الگوریتم AES256 برای رمزنگاری فایلها استفاده میکند.
همانند دیگر باج افزارها، این باجافزار نیز نقاط بازیابی سیستم (System Restore Points) را حذف نموده و امکان اجرای یک دستور را بر روی تمام دایرکتوریها و زیردایرکتوریها فراهم میسازد.
این باجافزار قادر به رمزنگاری ۷۶ نوع فایل مختلف است، که عبارتند از:
باجافزار تمام فایلها را یکی یکی بررسی نموده و لیست [FilesToHarm] را برای رمزنگاری فایلهای مورد نظر ایجاد میکند، و از همین لیست برای بازگشایی فایلهای رمزنگاری شده در صورت پرداخت باج، و یا حذف آنها در صورت عدم پرداخت باج استفاده میشود.
به محض رمزنگاری فایل، کلمه "SHRUG2." به پسوند فایل اضافه شده و سپس پیغام باجخواهی و تاریخ از بین رفتن فایلها به کاربر نشان داده میشود. در صورتی که باج درخواست شده پرداخت نگردد باجافزار قادر به حذف فایلهای کاربر میباشد.
آزمایشگاه امنیت Quick Heal در یک پست وبلاگی تحلیل فنی باجافزار و شاخصهای خطر را منتشر نموده است.
در صورت آلوده شدن به باجافزار چه کاری باید انجام داد؟
• اینترنت را قطع کنید
• حوزه آلودگی را تعیین کنید.
• نسخه یا نوع باج افزار را بیابید.
• میزان آسیب وارد شده توسط باجافزار را تعیین کنید.
چگونه میتوان خطر آلودگی به باجافزار را کاهش داد؟
• از یک دیوارآتش (Firewall) قوی برای بلاک کردن دستورات و پیغامهای بازگشتی کنترلی سرورها استفاده کنید.
• ایمیلهای خود را برای یافتن لینکها، محتوا و پیوستهای مخرب کنترل کنید.
• تبلیغات و محتواهای غیرضروری وب سایتها را بلاک کنید.
• مجوز کنترل دسترسی را اجباری کنید.
• از دادههای خود به طور منظم پشتیبان بگیرید.
منبع خبر: https://gbhackers.com/shrug2-ransomware-encrypts-files