هشتم

هشتم

مشاوره و طراحی سایت و پرتال سازمانی

هشتم

مشاوره و طراحی سایت و پرتال سازمانی


صفحه اصلی

بازگشت

باج افزار Mamba

باج افزار Mamba

22 مرداد 96


بر اساس گفته‌های محققان آزمایشگاه Morphus در برزیل، این بدافزار که Mamba نام دارد در کشورهای برزیل، ایالات‌متحده و هند مشاهده شده است. این بدافزار زمانی کشف شد که یکی از مشتریان Morphus در بخش انرژی از آن‌ها کمک خواسته بود تا درباره یک آلودگی تحقیق کنند. واحد اصلی این شرکت انرژی در برزیل است و شعباتی در امریکا و هند دارد. 

 

رناتو مارینیو، یکی از محققین آزمایشگاه Morphus به وب‌گاه Threatpost گفته است که احتمالاً این بدافزار از طریق رایانامه‌های فیشینگ انتقال می‌یابد. هنگامی‌که بدافزار مذکور دستگاه را آلوده می‌سازد، Master Boot Record موجود را با MBR خاصی رونویسی و از آنجا دیسک سخت را رمزنگاری می‌کند.

 

مارینیو گفت: «Mamba تمام بخش‌های دیسک را رمزنگاری می‌کند. Mamba برخلاف شیوه‌های سنتی سایر باج‌افزار‌ها که پرونده‌ها را به صورت تکی رمزنگاری می‌کردند، از یک رمزنگاری سطح دیسک استفاده می‌کند.»

این بدافزار یک تهدید ویندوزی است و مانع از راه‌اندازی سامانه‌عامل رایانه‌ی آلوده بدون کلمه‌ی عبور که همان کلید رمزگشایی است می‌شود. قربانیان این باج‌افزار با یادداشتی مواجه می‌شوند که به ازای هر میزبان آلوده‌شده تقاضای یک بیت‌کوین دارد. در این یادداشت شماره شناسه‌ی رایانه بهره‌برداری شده و آدرس رایانامه‌ای مورد نیاز برای درخواست کلید رمزگشایی آمده است.

 

Mamba نیز همانند Petya در گروه بدافزارهایی جای می‌گیرد که رایانه را در سطح دیسک مورد هدف قرار می‌دهند. بدافزار Petya، بخش Master File Table دستگاه آلوده‌شده را رمزنگاری می‌کند. حال آن‌که Mamba از ابزار رمزنگاری دیسک متن‌باز با نام DiskCryptor برای قفل دیسک سخت بهره‌برداری‌شده استفاده می‌کند. 

 

با ظهور Petya معادلات در خانواده‌های باج‌افزارها تغییر کرد. این باج‌افزار در ابتدا میان شرکت‌های آلمانی گسترش یافت و دفاتر منابع انسانی را مورد هدف قرار داد. رایانامه‌هایی ارسال می‌شدند که شامل پیوندی به یک پرونده Dropbox بود. این پرونده باج‌افزار را نصب می‌کرد. این بدافزار به قربانی فرآیند جعلی CHKDSK را نشان می‌داد درحالی‌که در پس‌زمینه در حال رمزنگاری Master File Table بود. 

 

محققان به‌سرعت عملکرد داخلی Petya را بررسی کردند و با تحلیل رفتاری این باج‌افزار، توانستند کمی پس از مشاهده اولین آلودگی‌ها رمزگشای مخصوص آن را تهیه کنند. یک ماه پس از Petya، نوع دیگری مشاهده شد که پرونده نصب‌کننده‌ی جدیدی داشت. اگر نصب‌کننده نمی‌توانست Petya را بر روی دستگاه بهره‌برداری‌شده نصب کند، باج‌افزار کم دردسرتر Mischa بر روی دستگاه نصب می‌شد. Mischa باج‌افزاری به‌مراتب کم‌خطرتر است.

 

Petya شامل یک پرونده اجرایی است که اختیارات مدیریتی را درخواست می‌کرد. این پرونده اجرایی یک اعلان UAC را در ویندوز نمایش می‌داد. اگر قربانی درخواست داده شده را رد می‌کرد، بدافزار مذکور به جای Petya، باج‌افزار Mischa  را نصب می‌کرد.

Mischa همانند سایر باج‌افزارهای مشابه رفتار می‌کند. به‌محض اینکه قربانی پیوند ارسالی در هرزنامه یا رایانامه‌ی فیشینگ را اجرا می‌کند، بدافزار پرونده‌های محلی را رمزنگاری کرده و تقاضای باج ۱.۹۳ بیت‌کوینی یا ۸۷۵ دلاری می‌کند تا پرونده‌های بهره‌برداری‌شده را بازگرداند.

چگونه از سرقت تصاویر در دنیای اینترنت جلوگیری کنیم؟

باج افزار Mamba

اقدام شرکت موزیلا در حذف نرم افزار فلش

چگونه از هارد دیسک خود در گوگل درایو بکاپ تهیه کنیم؟

تبدیل فایل اکسپلور به FTP

تنها در ایران 30 میلیون کاربر متصل به اینترنت، در انتظار حضورتان هستند...



phone

+98 903 082 28 68

email

hashtom_ir

Powered by 8tom - 2017