ویروس جدید تصمیم میگیرد که کامپیوتر شما برای استخراج ارز مناسبتر است یا باجافزار!
محققان امنیتی بدافزار جالبی کشف کردهاند که با توجه به تنظیمات یک سیستم، و نیز با توجه به اینکه کدام یک از دو طرح "استخراج ارز دیجیتال" و "باجافزار" سودآورتر است، آن را با یک استخراجکننده ارز دیجیتال یا باجافزار آلوده میکند.
باجافزار نوعی بدافزار است که کامپیوتر شما را قفل کرده و از دسترسی به دادههای رمزگذاری شده جلوگیری میکند تا زمانی که برای دریافت کلید رمزگشایی موردنیاز باج پرداخت کنید، در حالی که استخراجکنندگان ارز دیجیتال از قدرت پردازنده سیستم آلوده برای استخراج ارزهای دیجیتال استفاده میکنند.
هر دو حمله باجافزار و cryptocurrency مبتنی بر استخراج ارز، تا کنون بزرگترین تهدیدات سال جاری بوده و شباهتهای زیادی نیز با یکدیگر دارند، به عنوان مثال، هر دو به صورت ماهرانهای برای بدست آوردن پول و ارز دیجیتال در مقابل اهدافی گسترده انجام میشوند.
با این حال، از آنجا که قفل کردن یک کامپیوتر برای دریافت باج، اغلب تضمینی برای دریافت باج ندارد_ به این دلیل که ممکن است قربانی چیزی برای از دست دادن نداشته باشد_ در ماههای گذشته مجرمان سایبری بیشتر به کلاهبرداریهایی در زمینه استخراج ارز دیجیتال با استفاده از cryptocurrency روی آوردهاند، به این صورت که کامپیوتر قربانیان را به عنوان استخراجکننده ارز دیجیتال طعمه قرار میدهند.
محققان شرکت امنیتی Kaspersky Labs نوع جدیدی از خانواده باجافزار Rakhni را کشف کردهاند که در حال حاضر ارتقا یافته تا توانایی استخراج ارز دیجیتال را نیز داشته باشد.
بدافزار Rakhni با زبان برنامهنویسی دلفی نوشته شده و از طریق فایل MS word در پیوستهای ایمیل گسترش می یابد، که اگر باز شود، قربانی را وادار به ویرایش و ذخیرهسازی سند میکند.
این سند حاوی یک آیکون PDF است که اگر روی آن کلیک شود، یک فایل اجرایی مخرب بر روی کامپیوتر قربانی اجرا شده و بلافاصله پس از اجرا، پیغامی نشان داده خواهد شد تا قربانیان را به گونهای فریب دهد که فکر کنند فایلی برای باز کردن وجود ندارد.
چگونه بدافزار تصمیم می گیرد چه کاری انجام دهد
بدافزار در پس زمینه، anti-VM و anti-sandbox را بررسی میکند تا تصمیم بگیرد که آیا میتواند بدون شناسایی شدن سیستم را آلوده کند. اگر تمام شرایط برقرار باشد، بدافزار جهت تصمیمگیری نهایی_ برای اینکه سیستم را به باجافزار آلوده کند یا استخراجکننده ارز_ بررسی بیشتری انجام میدهد.
۱- نصب باج افزار: اگر سیستم هدف دارای پوشه Bitcoin در بخش AppData باشد.
قبل از رمزگذاری فایلها با الگوریتم رمزگذاری RSA-1024، بدافزار تمام پردازشهایی را که با یک لیست از پیشتعریف شده از برنامههای محبوب مطابقت دارند را متوقف نموده و سپس یک پیغام متنی مبتنی بر درخواست باج را به کاربر نشان خواهد داد.
۲- نصب استخراجکننده ارز دیجیتال: اگر پوشه Bitcoin وجود نداشته باشد و دستگاه دارای بیش از دو پردازنده منطقی باشد.
اگر سیستم با یک استخراجکننده ارز دیجیتال آلوده شود، با استفاده از ابزار MinerGate به استخراج Monero (XMR)، Monero Original (XMO) و Dashcoin (DSH) در پسزمینه میپردازد.
علاوه بر این، بدافزار از ابزار CertMgr.exe برای نصب گواهینامههای جعلی که ادعا میکنند توسط Microsoft Corporation و Adobe Systems Incorporated صادر شدهاند استفاده نموده و تلاش میکند استخراجکننده را به عنوان یک پردازش مورد اعتماد جلوه دهد.
۳- فعال نمودن کرم: اگر پوشه Bitcoin وجود نداشته باشد و فقط یک پردازنده منطقی موجود باشد.
این جزء به بدافزار کمک میکند تا با استفاده از منابع مشترک، خود را در تمام کامپیوترهای واقع در شبکه محلی کپی کند.
صرفنظر از اینکه چه روشی انتخاب شده است، بدافزار وجود آنتیویروس را بر روی سیستم بررسی میکند اگر پردازش آنتیویروس بر روی سیستم در حال اجرا نباشد، با اجرای چند دستور cmd سعی میکند Windows Defender را از کار بیندازد.
این نوع بدافزار (۹۵.۵ درصد) کاربران در روسیه و همچنین تعدادی از کاربران در قزاقستان (۱.۳۶ درصد)، اوکراین (۰.۵۷ درصد)، آلمان (۰.۴۹ درصد) و هند (۰.۴۱ درصد) را مورد هدف قرار داده است.
بهترین راه مصون نگه داشتن خود از چنین حملاتی، در وهله اول این است که هرگز فایلها و لینکهای مشکوک ایمیلها را باز نکنید. همچنین همیشه به طور منظم از فایلهای خود پشتیبان تهیه نموده و آنتیویروس خود را نیز مرتب به روز رسانی نمایید.
منبع خبر: https://thehackernews.com/2018/07/cryptocurrency-mining-ransomware.html