کمیته رکن چهارم – با توجه به نتایج بررسی آزمایشگاه امنیتی سوفوس، باج افزار جدیدی در سطح اینترنت منتشر شده است که علاوه بر ویژگی های معمول باج افزار، میتواند همانند یک ویروس عمل کرده و خود را بدون دخالت کاربر در سطح شبکه منتشر کند.
به گزارش کمیته رکن چهارم،تروجان ها، برنامه هایی هستند که در ظاهر مجاز و کاربردی بوده ولی در باطن کاملاً مخرب میباشند. تروجان ها برای انتشار نیاز به تعامل با کاربر دارند و از طریق روش هایی مانند ایمیل و یا صفحات وب آلوده منتشر میشوند و نمیتوانند مانند ویروس ها توسط خودشان منتشر شوند.
ویروس ها به گونه ای برنامه نویسی می شوند که بتوانند توسط خودشان از طریق روش هایی مانند کپی کردن در دیگر فایلها و یا دایرکتوریهای سیستم و یا تحت شبکه و یا کپی کردن در تجهیزات ذخیره سازی اطلاعات منتشر شوند.
به تازگی نوع جدیدی از باج افزارها منتشر شده است که خاصیت انتشار بدون واسطه خود را از ویروس ها به ارث برده است (بیشتر باجافزارها برای هر سیستم قربانی یک کلید رمزنگاری منحصر به فرد تولید میکنند. بنابراین اگر در یک سازمان چندین سیستم آلوده شدند، باید برای هرکدام از آنها کلیدهای جداگانه خریداری شود).
آزمایشگاه امنیتی سوفوس، گونه جدید باجافزار منتشر شده را Troj/Agent-ARXC و Troj/Mdrop-HGD نامگذاری کرده است. البته با توجه به نتایج بهدست آمده، این باجافزار هنوز به گونه مؤثری قادر به انتشار خود نمیباشد. این باج افزار در ابتدا با ارسال یک ایمیل حاوی صورتحساب برای فرد قربانی سعی در فریب وی دارد.
با باز کردن ایمیل و دانلود فایل مربوطه و اجرای فایل invoice-order.exe ، باج افزار شروع به رمزکردن فایلهای مورد نظر خود میکند و پس از آن پیغام زیر را نشان میدهد.
با توجه بررسی روند فعالیت این باج افزار مشخص شده است که پس از این مرحله باج افزار خودش را در پوشه شبکه که به اشتراک گذاشته شده و همچنین در حافظه های جانبی متصل به سیستم کپی میکند. باجافزار این عمل را با کپی کردن فایل zcrypt.lnk به همراه autorun.inf در مقصد مورد نظر انجام میدهد. بنابراین با اتصال حافظه جانبی آلوده به سیستم و یا مشاهده پوشه شبکه، باج افزار میتواند در سیستم جدید نیز منتشر شود.
البته با توجه به اینکه Autorun به صورت پیشفرض در سیستم های ویندوزی غیرفعال می باشد، خطر آلوده شدن مجدد یک سیستم دیگر از این طریق کم میباشد.
همچنین این باج افزار خودش را در پوشه AppData\Roaming نیز کپی میکند و درنتیجه به طور خودکار در سیستم هایی که در همان شبکه قرار دارند گسترش پیدا میکنند.
منبع:مرکز ماهر
