کشف بدافزاری که دادهها را حذف میکند
باجافزاری در حال گسترش است که به قربانیان ۱۰ دقیقه فرصت میدهد تا کد غیرفعالسازی باجافزار را وارد کنند، در غیر این صورت تمامی اطلاعات هارددیسک را پاک میکند.
براساس اظهارات تیم امنیتی که این بدافزار را شناسایی کردهاند، بدافزار هنگام اجرا سرود شوروی را اجرا کرده و فایل صوتی آن با فرمت Mp۳ در آدرس %UserProfile%\AppData\Local ذخیره میشود.
به گزارش تجارتنیوز ، بدافزار فایل اجرایی خود به نام Stalin.exe را نیز در همان مسیر کپی خواهد کرد. بعد انجام این مراحل فایل Autorun با نام Stalin ایجاد کرده که در زمان اجرا صفحه نمایش را قفل نموده و فرآیند حذف اطلاعات را آغاز میکند.
همچنین این بدافزار در آدرس %UserProfile%\AppData\Local\fl.dat فایلی را ایجاد میکند. این فایل در هر بار ری استارت شدن سیستم، برای شمارنده کاهشی بدافزار مورد استفاده قرار میگیرد.
این بدافزار سعی میکند به Taskmgr.exe و explorer.exe دسترسی پیدا کند اما با برنامههای Skype و Discord کاری ندارد. همچنین این بدافزار با ایجاد یک رویه زمانبندی شده به نام «Dirve Update» فایل Stalin.exe را اجرا میکند.
زمانی که بدافزار صفحه نمایش را قفل کرده و تایمر ۱۰ دقیقهای را نمایش میدهد، از قربانی میخواهد که یک کد را وارد کند. این کد از تفریق تاریخ روز با تاریخ ۱۹۲۲/۱۲/۳۰ بدست میآید. اگر کد صحیح وارد شود بدافزار خارج شده و فایل autorun را حذف میکند. اگر قربانی نتواند در مدت زمان تعیین شده کد را وارد کند، بدافزار تمامی فایلها در تمامی درایوهای متصل به کامپیوتر را حذف خواهد کرد.
تیم شناسایی کننده این بدافزار در یک مصاحبه گفته است که این بدافزار هیچ تقاضای مالی، راه ارتباطی و هیچ چیز نمیخواهد. همچنین اضافه کردند که این بدافزار از انواع شناخته شده نیست و اولین بار در روزهای گذشته مشاهده شده است. به گفته آنها اگر کاربری آلوده شود بهترین کار خاموش کردن کامپیوتر و کمک گرفتن از کسی است که بتواند سیستم کامپیوتر را پاکسازی کند.
مارک جیمز، متخصص امنیتی عنوان کرده که این نوع از بدافزارهای پاک کننده ظاهرا طبیعتی مخرب داشته و هدفی جز نابودی دادهها و بدست آوردن توجه رسانهها را ندارند. متوسط کاربران نه توانایی داشته و نه تمایلی به پیدا کردن کد صحیح دارند. بنابراین پاک شدن فایلها معمولا انجام میشود. تنها اقدام مفید آنان فراهم کردن یک نرمافزار امنیتی چند لایه است که بتواند بدافزار را شناسایی و حذف کند.
همانطور که گفته شد تمایل این بدافزار به گسترش و انتشار بیش از پاک نمودن فایلهای شخصی است. جیمز هادلی - مدیرعامل و موسس یک آزمایشگاه امنیتی - هم عنوان کرد: با وجود بدافزارهایی مانند StalinLocker و StalinScreamer که هر روز سریعتر میشوند، بسیار اهمیت دارد، تحلیگران امنیتی به یک محیط امن و مطمئن دسترسی داشته که در آن بتوانند شخصا و از نزدیک تهدیدات و خصوصیات آنها را بررسی کنند. به این منظور که بهترین راهها را برای امنیت سیستمها بیابند.
به گفته وی انجام این کار به معنای تفاوت بین همطراز بودن علمی با مهاجمین یا عقب افتادن از آنهاست. بر اساس اطلاعات سایت پلیس فتا، کارشناسان امنیتی میگویند در سال گذشته بدافزاری سیستمها را قفل کرده و کاربران را مجبور میکرد برای آزاد شدن سیستمشان در یک بازی امتیاز بالایی کسب کنند.
با وجود اینکه این نوع از حملات برای کسب منفعت نبوده اما بدون پیامد هم نیست. بنابراین سازمانها باید این تهدیدات را جدی گرفته و با سرمایهگذاری در زمینههای امنیتی که قادر به شناسایی این تهدیدات است، پارامترهای مناسب را اتخاذ کنند.
منبع:ایسنا
نظرات