باج افزار جدید Shrug2 مبتنی بر NET. که قابلیت رمزنگاری ۷۶ نوع فرمت فایل مختلف را دارد!

اخیراً سازندگان بدافزار راهی ساده برای توسعه‌ی بدافزارها با استفاده از چارچوب NET. یافته‌اند.
تحقیقات صورت گرفته نشان می‎‌دهد باج‌افزارهای ننگینی مانند SamSam، Lime و اکنون نیز Shrug2 با استفاده از چارچوب NET.  ایجاد شده‌اند.

باج افزار Shrug2 برای اولین بار در تاریخ ۶ جولای در قالب نرم‌افزارهای جعلی و بازی‌ها به میدان آمد. و اکنون با قابلیت‌های بیشتر بازگشته است!
نسخه جدید باج افزار تحت عنوان Shrug2 و با چارچوب NET. توسعه یافته است. این باج‌افزار به سیستم قربانی حمله کرده و در ازای بازگشایی فایل‌های کاربر، ۷۰ دلار به صورت بیت‎‌کوین درخواست می‌نماید.

آلوده شدن به باج افزار Shrug2
باج‌افزار Shrug2 به همراه حامل‌های آلوده‌کننده‌ای مانند ایمیل‌های فیشینگ، پیوست‌های ایمیل، پروتکل RDP، لینک‌های تعبیه شده در متون و نیز وب‌سایت‎‌های آلوده و دانلودها توزیع می‌گردد.
هنوز عامل اصلی انتشار این باج افزار شناسایی نشده است. به محض آلوده نمودن سیستم قربانی، باج‌افزار به دنبال یافتن اتصالات فعال اینترنت است، اگر سیستم قربانی به اینترنت متصل باشد، باج افزار با بررسی رجیستری، آلوده شدن سیستم به SHRUG2 را چک می‌کند.

اگر سیستم آلوده نشده باشد، باج افزار در رجیستری، «[ShrugTwo]» را ایجاد نموده و سپس تاریخ و زمانی که سیستم توسط باج‌افزار آلوده شده است را خوانده، و بر اساس این تاریخ و زمان، یک مهلت زمانی برای کاربر برای پرداخت باج تعیین می‌کند. این باج افزار از الگوریتم AES256 برای رمزنگاری فایل‌ها استفاده می‌کند.

همانند دیگر باج افزارها، این باج‌افزار نیز نقاط بازیابی سیستم  (System Restore Points) را حذف نموده و امکان اجرای یک دستور را بر روی تمام دایرکتوری‌ها و زیردایرکتوری‌ها فراهم می‌سازد.

این باج‌افزار قادر به رمزنگاری ۷۶ نوع فایل مختلف است، که عبارتند از:

باج‌افزار تمام فایل‌ها را یکی یکی بررسی نموده و لیست [FilesToHarm] را برای رمزنگاری فایل‌های مورد نظر ایجاد می‌کند، و از همین لیست برای بازگشایی فایل‌های رمزنگاری شده در صورت پرداخت باج، و یا حذف آن‌ها در صورت عدم پرداخت باج استفاده می‌شود.

به محض رمزنگاری فایل، کلمه "SHRUG2." به پسوند فایل اضافه شده و سپس پیغام باج‌خواهی و تاریخ از بین رفتن فایل‌ها به کاربر نشان داده می‌شود. در صورتی که باج درخواست شده پرداخت نگردد باج‌افزار قادر به حذف فایل‌های کاربر می‌باشد.
آزمایشگاه امنیت Quick Heal در یک پست وبلاگی تحلیل فنی باج‌افزار و شاخص‌های خطر را منتشر نموده است.

در صورت آلوده شدن به باج‌افزار چه کاری باید انجام داد؟
•    اینترنت را قطع کنید
•   حوزه آلودگی را تعیین کنید.
•    نسخه یا نوع باج افزار را بیابید.
•    میزان آسیب وارد شده توسط باج‌افزار را تعیین کنید.

چگونه می‎‌توان خطر آلودگی به باج‌افزار را کاهش داد؟
•    از یک دیوارآتش (Firewall) قوی برای بلاک کردن دستورات و پیغام‌های بازگشتی کنترلی سرورها استفاده کنید.
•    ایمیل‌های خود را برای یافتن لینک‌ها، محتوا و پیوست‌‌های مخرب کنترل کنید.
•    تبلیغات و محتواهای غیرضروری وب سایت‌ها را بلاک کنید.
•    مجوز کنترل دسترسی‌ را اجباری کنید.
•    از داده‌های خود به طور منظم پشتیبان بگیرید.

منبع خبر: https://gbhackers.com/shrug2-ransomware-encrypts-files