کمیته رکن چهارم – بر اساس گزارشی که شرکت ضدویروس ملوربایتز آن را منتشر کرده اجرای موفقیتآمیز نسخه جدید باجافزار SamSam مستلزم وارد نمودن رمزعبور صحیح توسط اجرا کننده آن است.
روشی غیرمتعارف برای حفاظت از باجافزار که البته خللی در عملکرد آن بر روی دستگاه قربانی ایجاد نمیکند.
هدف از پیادهسازی این مکانیزم، جلوگیری از بررسی شدن فایلهای مخرب باجافزار توسط محققان بدافزار در آزمایشگاههای امنیتی است.
بر خلاف اغلب باجافزارها که معمولا از طریق هرزنامهها و روشهای مهندسی اجتماعی به دستگاه کاربران راه پیدا میکنند، گردانندگان پشتپرده SamSam صرفا از آن در مواقع خاص و عمدتا پس از هک کردن شبکه شرکتهای بزرگ و سازمانهای دولتی بهره میگیرند. بنابراین مکانیزم ورود رمزعبور برای اجرای باجافزار، فایلهای مخرب و کلیدی SamSam را به نوعی در انحصار این افراد نگاه خواهد داشت.
تاکتیکهای مورد استفاده نویسندگان SamSam هر چند بسیار مشابه حملات سایبری اجرا شده توسط نفوذگران دولتی است اما اکثر کارشناسان آنها را مستقل از هر گونه حکومت یا دولت میدانند.
به گفته یکی از محققان، رمزعبور مذکور در حین کامپایل کردن باجافزار ایجاد میشود و احتمالا رمزعبور در هر کارزار منحصر به همان کارزار خواهد بود.
مشروح گزارش ملوربایتز در لینک زیر قابل دریافت و مطالعه است:
پیشتر نیز شرکت امنیتی سوفوس در گزارشی به بررسی باجافزار SamSam پرداخته بود که در این خبر به آن اشاره شده است.
توضیح اینکه فایلهای مخرب نسخه جدید با نامهای زیر شناسایی میشود:
Bitdefender
– Trojan.BAT.Agent.JO
– Trojan.GenericKD.30548303
– Trojan.GenericKD.30367991
McAfee
– BAT/Ransom-Samsam
– RDN/Generic.dx
– Ransomware-GJX!B96620D8A08F
Sophos
– Troj/RansRun-A
– Troj/Samas-F
– Mal/Kryptik-BV
