ویروس جدید تصمیم می‌گیرد که کامپیوتر شما برای استخراج ارز مناسب‌تر‌‎‏ است یا باج‌افزار!

محققان امنیتی بدافزار جالبی کشف کرده‌اند که با توجه به تنظیمات یک سیستم، و نیز با توجه به اینکه کدام یک از دو طرح "استخراج ارز دیجیتال" و "باج‌افزار" سودآورتر است، آن را با یک استخراج‌کننده ارز دیجیتال یا باج‌افزار آلوده می‌کند.

باج‌افزار نوعی بدافزار است که کامپیوتر شما را قفل کرده و از دسترسی به داده‌های رمزگذاری شده جلوگیری می‌کند تا زمانی که برای دریافت کلید رمزگشایی موردنیاز باج پرداخت کنید، در حالی که استخراج‌کنندگان ارز دیجیتال از قدرت پردازنده سیستم آلوده برای استخراج ارزهای دیجیتال استفاده می‌کنند.
هر دو حمله باج‌افزار و cryptocurrency مبتنی بر استخراج ارز، تا کنون بزرگترین تهدیدات سال جاری بوده و شباهت‌های زیادی نیز با یکدیگر دارند، به عنوان مثال، هر دو به صورت ماهرانه‌ای برای بدست آوردن پول و ارز دیجیتال در مقابل اهدافی گسترده انجام می‌شوند.
با این حال، از آنجا که قفل کردن یک کامپیوتر برای دریافت باج، اغلب تضمینی برای دریافت باج ندارد_ به این دلیل که ممکن است قربانی چیزی  برای از دست دادن نداشته باشد_ در ماه‌های گذشته مجرمان سایبری بیشتر به کلاه‌برداری‌هایی در زمینه استخراج ارز دیجیتال با استفاده از cryptocurrency  روی آورده‌اند، به این صورت که کامپیوتر قربانیان را به عنوان استخراج‌کننده ارز دیجیتال طعمه قرار می‌دهند.
محققان شرکت امنیتی Kaspersky Labs نوع جدیدی از خانواده باج‌افزار Rakhni را کشف کرده‌اند که در حال حاضر ارتقا یافته تا توانایی استخراج ارز دیجیتال را نیز داشته باشد.

بدافزار Rakhni با زبان برنامه‌نویسی دلفی نوشته شده و از طریق فایل MS word در پیوست‌های ایمیل گسترش می یابد، که اگر باز شود، قربانی را وادار به ویرایش و ذخیره‌‏سازی سند می‎کند.
این سند حاوی یک آیکون PDF است که اگر روی آن کلیک شود، یک فایل اجرایی مخرب بر روی کامپیوتر قربانی اجرا شده و بلافاصله پس از اجرا، پیغامی نشان داده خواهد شد تا قربانیان را به گونه‌‏ای فریب دهد که فکر کنند فایلی برای باز کردن وجود ندارد.

چگونه بدافزار تصمیم می گیرد چه کاری انجام دهد

بدافزار در پس زمینه، anti-VM و anti-sandbox را بررسی می‏‌کند تا تصمیم بگیرد که آیا می‌تواند بدون شناسایی شدن سیستم را آلوده کند. اگر تمام شرایط برقرار باشد، بدافزار جهت تصمیم‌گیری نهایی_ برای اینکه سیستم را به باج‎‌افزار آلوده کند یا استخراج‏‌کننده ارز_ بررسی بیشتری انجام می‌دهد.

۱- نصب باج افزار: اگر سیستم هدف دارای پوشه Bitcoin در بخش AppData باشد.

قبل از رمزگذاری فایل‌ها با الگوریتم رمزگذاری RSA-1024، بدافزار تمام پردازش‎‌هایی را که با یک لیست از پیش‌تعریف شده از برنامه‌های محبوب مطابقت دارند را متوقف نموده و سپس یک پیغام متنی مبتنی بر درخواست باج را به کاربر نشان خواهد داد.

۲- نصب استخراج‌کننده ارز دیجیتال: اگر پوشه Bitcoin وجود نداشته باشد و دستگاه دارای بیش از دو پردازنده منطقی باشد.

اگر سیستم با یک استخراج‌کننده ارز دیجیتال آلوده شود، با استفاده از ابزار MinerGate به استخراج Monero (XMR)، Monero Original ‪(XMO)‬ و Dashcoin ‪(DSH)‬ در پس‌زمینه می‌پردازد.

علاوه بر این، بدافزار از ابزار CertMgr.exe برای نصب گواهینامه‌های جعلی که ادعا می‌کنند توسط Microsoft Corporation و Adobe Systems Incorporated صادر شده‌اند استفاده نموده و تلاش می‌کند استخراج‌کننده را به عنوان یک پردازش مورد اعتماد جلوه دهد.
۳- فعال نمودن کرم: اگر پوشه Bitcoin وجود نداشته باشد و فقط یک پردازنده منطقی موجود باشد.
این جزء به بدافزار کمک می‌کند تا با استفاده از منابع مشترک، خود را در تمام کامپیوترهای واقع در شبکه محلی کپی کند.
صرف‌نظر از اینکه چه روشی انتخاب شده است، بدافزار وجود آنتی‎‌ویروس را بر روی سیستم بررسی می‌کند اگر پردازش آنتی‎‌ویروس بر روی سیستم در حال اجرا نباشد، با اجرای چند دستور cmd سعی می‎‌کند Windows Defender را از کار بیندازد.

این نوع بدافزار (۹۵.۵ درصد) کاربران در روسیه و همچنین تعدادی از کاربران در قزاقستان (۱.۳۶ درصد)، اوکراین (۰.۵۷ درصد)، آلمان (۰.۴۹ درصد) و هند (۰.۴۱ درصد) را مورد هدف قرار داده است.
بهترین راه مصون نگه داشتن خود از چنین حملاتی، در وهله اول این است که هرگز فایل‌ها و لینک‌های مشکوک ایمیل‌ها را باز نکنید. همچنین همیشه به طور منظم از فایل‌های خود پشتیبان تهیه نموده و آنتی‌ویروس خود را نیز مرتب به روز رسانی نمایید.

منبع خبر: https://thehackernews.com/2018/07/cryptocurrency-mining-ransomware.html