آخرین اخبار
صفحه اصلی
اخبار

باج‌افزار ردبات، رکورد بوت اصلی را دست‌کاری می‌کند

تاریخ:
در: اخبار, اسلاید, امنیت سایبری
دیدگاهتان را بنویسید:
376 نمایش ها

کمیته رکن چهارم – به تازگی یک خانواده‌ی بدافزار کشف شده که توانایی این را دارد که رکورد بوت اصلی۱ را جایگزین کرده و جدول پارتیشن را تغییر دهد و به بدافزار اجازه می‌دهد تا به عنوان پاک‌کننده عمل کند.

 این بدافزار که ردبات۲ نامیده می‌شود، مانند عملیات رمزنگاری پرونده، مشخصا برای اهداف مخرب طراحی شده است. این بدافزار پرونده‌های اجرایی و کتابخانه‌ها را همراه با پرونده‌های داده‌ها رمزنگاری می‌کند، بنابراین استفاده از این ماشین آلوده بی‌‌فایده است. علاوه بر این، با جایگزینی رکورد بوت اصلی، از بارگیری ویندوز توسط رایانه جلوگیری می‌کند.

عملیات این بدافزار بسیار شبیه بدافزارهای پتیا۳ و میچا۴ است، بدافزار پتیا رکورد بوت اصلی را جایگزین می‌کرد و میچا پرونده‌های کاربر را رمزنگاری می‌کرد که بعدها این دو بدافزار با هم ترکیب شدند و بدافزار چشم‌طلایی۵ را به وجود آوردند. در سال جاری، یک حمله‌ی جهانی که از یک پاک‌کننده‌ی مخرب استفاده می‌کرد خود را جای پتیا جا زد. هنگامی که باج‌افزار ردبات جدید بر روی دستگاه مورد نظر اجرا می‌شود، پنج پرونده‌ی دیگر را درون یک پوشه‌ی تصادفی در یک مسیر مشابه به عنوان بوت قرار می‌دهد. این پنج پرونده عبارت‌اند از: assembler.exe ،boot.asm ،main.exe ،overwrite.exe و protect.exe، یادداشت‌هایی از وب‌گاه BleepingComputer لارنس آبرامز.

پرونده‌ی assembler.exe، که یک رونوشت با نام متفاوت از nasm.exe است، برای کامپایل پرونده‌ی اسمبلی boot.asm در یک پرونده‌ی رکورد بوت اصلی جدید boot.bin استفاده می‌شود. بعد، overwrite.exe برای بازنویسی boot.bin موجود با یک کامپایلر جدید استفاده می‌شود. عملیات رمزنگاری حالت کاربر توسط پرونده‌ی main.exe انجام می‌شود، در حالی‌که protect.exe برای خاتمه دادن و جلوگیری از اجرای برنامه‌های مختلف مانند تسک‌منیجر۶ و پروسس‌هکر۷ بر روی دستگاه آلوده طراحی شده است.

پس از قرار دادن این پرونده‌ها، راه‌انداز دستور لازم را در پرونده‌ی boot.bin جدید اجرا می‌کند و سپس پرونده‌های boot.asm و assembly.exe را حذف می‌کند. بعد، boot.bin را بازنویسی می‌کند و سپس main.exe را شروع می‌کند تا رایانه را برای رمزنگاری پرونده‌ها پویش کند. protect.exe نیز راه‌اندازی شده است تا از مسدود کردن و یا تجزیه و تحلیل این آلودگی توسط برنامه‌های دیگر جلوگیری کند. این باج‌افزار برای رمزنگاری پرونده‌های قابل اجرا و داده‌های عادی و کتابخانه‌ها در ماشین آلوده طراحی شده است و پسوند .locked را به تمام پرونده‌های رمزنگاری‌شده اضافه می‌کند. به محض این‌که فرآیند رمزنگاری کامل شد، این بدافزار دستگاه را دوباره راه‌اندازی می‌کند و رکورد راه‌انداز اصلی جدید، به جای بارگیری ویندوز، یک یادداشت باج‌خواهی را نشان می‌دهد.

اگرچه، این یادداشت باج‌خواهی ادعا می‌کند که قربانیان اگر با نویسنده‌ی بدافزار از طریق رایانامه‌ی redboot@memeware.net، برای دریافت دستورالعمل پرداخت ارتباط برقرار کنند، می‌توانند پرونده‌های خود را بازیابی کنند، تجزیه و تحلیل این تهدید توسط محققان نشان می‌دهد که این ممکن نیست. آبرامز می‌گوید: «ظاهرا، این بدافزار می‌تواند جدول پارتیشن را بدون ارائه یک روش برای بازگرداندن آن تغییر دهد.»  طبق توضیح محققان، به همین دلیل هم است که حتی اگر قربانیان با نویسنده‌ی این باج‌افزار ارتباط برقرار کنند و باج درخواست شده را پرداخت کنند نیز، ممکن است حافظه‌ی کامپیوتر قابل بازیابی نباشد. در حال حاضر مشخص نیست که آیا ردبات مانند باج‌افزار نات‌پتیا۸ به عنوان پاک‌کننده عمل می‌کند یا فقط یک بدافزار ضعیف است. این تهدید با استفاده از AutoIT کامپایل شده است، که می‌تواند نشان‌دهنده‌ی این باشد که یک خطای منتج شده از آن، جدول پارتیشن را تغییر می‌دهد، بدون ‌این‌که راه‌حلی برای بازیابی آن ارائه دهد.

منبع : news.asis.io

برچسب ها:

درباره نویسنده

پست های مرتبط

پاسخ دهید


خبرگزاری هرانا

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *


Type The Red Captcha Characters Below.