کمیته رکن چهارم – برخی منابع، از افزایش هرزنامههایی خبر دادهاند که هدف آنها آلوده نمودن دستگاهها به باجافزار NemucodAES و بدافزار Kovert است. در این هرزنامهها اینطور القا میشود که ایمیل، یک اطلاعیه تحویل بوده و از سوی United Parcel Service به کاربر ارسال شده است.
پیوست این هرزنامهها یک فایل فشرده شده با پسوند ZIP. است که خود نیز حاوی یک فایل JavaScript میباشد.
وظیفه فایل JavaScript دریافت باجافزار NemucodAES و بدافزار Kovert از اینترنت و اجرای آنها بر روی دستگاه است. پسوند این فایلها doc.js. است که با توجه به عدم نمایش پسوند فایلهای شناخته شده در حالت پیشفرض سیستم عامل Windows، در اکثر دستگاهها کاربر فایلی با پسوند doc. را مشاهده خواهد کرد.
NemucodAES باجافزاری است که به زبانهای JavaScript و PHP نوشته شده و با بکارگیری الگوریتمهای AES و RSA اقدام به رمزگذاری فایلها میکند. تصویر زیر نمونهای از اطلاعیه باجگیری این باجافزار را نمایش میدهد.
خبر خوش اینکه ابزار رمزگشایی آن توسط شرکت Emsisoft ساخته شده و از اینجا قابل دریافت و استفاده است.
Kovert نیز بدافزاری قدیمی است که نسخههای اخیر آن در دسته بدافزارهای موسوم به Click Fraud طبقهبندی میشوند. این نوع بدافزارها با نمایش تبلیغات ناخواسته بر روی دستگاه، قربانی را به سایتهای تبلیغاتی و احیاناً مخرب هدایت میکنند. بر اساس توضیحات شرکت مایکروسافت از ویژگیهای خاص Kovert، بدون فایل (Fileless) بودن آن است که پس از آلوده ساختن دستگاه فایل مخرب خود را از روی آن حذف میکند. موضوعی که سبب دشوار شدن شناسایی آن میشود.
توضیح اینکه نسخه Kovert استفاده شده در این کارزار توسط ضدویروسهای McAfee و Bitdefender بترتیب با نامهای RDN/Generic.grp و Trojan.GenericKD.12014444 شناسایی میشود.
منبع : شرکت مهندسی شبکه گستر
