کمیته رکن چهارم – محققان امنیت سایبری بدافزاری جدید به نام Elementor را کشف کردهاند که با نفوذ به سیستم، برنامههای اصلی آن را پاک میکند.
بدافزار Elementor نسخه ارتقا یافته بدافزار Dilemma است که شبکههای مبتنی بر ویندوز را هدف میدهد. با توجه به نوظهور بودن این بدافزار، لازم است تمهیدات پیشگیرانه برای مقابله با آن اندیشیده شود.
بدافزار جدیدی موسوم به Elementor یا Elemental شناسایی شده که شباهت بسیاری به Dilemma دارد. از مهمترین شباهتهای عملکردی هر دو بدافزار میتوان به حذف برنامههای اصلی سیستمعامل سرور مانند wipe ،servermanager.exe جدول پارتیشن سیستمعاملها، استفاده از میوتکس با نام REV08.tmp و REV09.tmp برای جلوگیری از اجرای همزمان دو نسخه از برنامه اشاره کرد.
البته این دو فایل دارای تفاوتهایی نیز هستند که از جمله مهمترین آنها میتوان به استفاده از بیت-لاکر برای قفل کردن پارتیشنها و تغییر پسوند فایلها (در نسخه مورد بررسی، پسوند فایلهای docx به foold، فایلهای xlsx به foolx، فایلهای doc به fooldc و فایلهای xls به foolxc تغییر میکند) اشاره کرد.
این بدافزار برای انتشار در شبکه و سیستمها و تخریب اطلاعات از فایلهای اجرایی مخرب استفاده میکند، که فهرست آنها بههمراه مشخصاتی مانند مسیر فایل و کد Hash فایل در جداول زیر ارائه شده است.
توصیه میشود نسبت به پیشگیری و مقابله با این بدافزار، معرفی و شناساندن آنها به سامانههای ضدبدافزار و سایر ابزارهای امنیتی اقدام شود.
منبع : مرکز مدیریت راهبردی افتا
