دلگرم
امروز: جمعه, ۱۰ فروردين ۱۴۰۳ برابر با ۱۸ رمضان ۱۴۴۵ قمری و ۲۹ مارس ۲۰۲۴ میلادی
باج‌افزار تقلبی CryWiper پولتان را میخورد، فایل هایتان را هم بر نمیگرداند!
0
متخصصین کسپرسکی بتازگی حمله یک تروجان جدید را کشف کرده اند که نامش را CryWiper گذاشته‌اند. در نگاه اول این بدافزار شبیه به باج‌افزار است.

در نگاه اول این بدافزار شبیه به باج‌افزار است. CryWiper فایل‌ها را دستکاری کرده، به آن‌ها افزونه .CRY اضافه می‌کند و فایل README.txt را با یادداشت باج حاوی آدرس کیف‌پول بیت‌کوین و غیره ذخیره می‌کند.

تروجان/بیت‌کوین

با این حال در حقیقت این بدافزار یک وایپر است و فایل دستکاری‌شده‌ توسط CryWiper نمی‌تواند به وضعیت قبلی خود –تحت هیچ شرایطی- بازگردد. پس اگر یادداشت باج دیدید و فایل‌هایتان نیز افزونه جدید .CRY گرفتند برای پرداخت مبلغ باج عجله نکنید زیرا این کار بیهوده است زیرا فایل‌ها در واقع رمزگذاری نمی‌شوند بلکه این تروجان آن‌ها را با داده‌های شبه‌تصادفی تولیدشده بازنویسی می‌کند و تحت هیچ شرایطی امکان بازگشت فایل به وضعیت قبل وجود ندارد.یک تروجان جدید که به عنوان یک محموله باج افزار پنهان شده است، توسط محققان به تازگی کشف شده است که سوالاتی را در مورد دلیل وجود و هویت اپراتورهای آن ایجاد کرده است.CryWiper، که به دلیل پسوند متمایز «.cry» که به فایل‌ها اضافه می‌شود، نام‌گذاری شده است، در اولین نگاه به نظر می‌رسد که یک نوع باج‌افزار جدید است. دستگاه‌های قربانیان ظاهراً رمزگذاری شده‌اند و یک یادداشت باج داده می‌شود که خواستار ارسال پول به آدرس کیف پول بیت‌کوین است. با این حال، فایل ها در واقع پیش از بازیابی خراب شده اند.هنگامی که بر روی سیستم قربانی قرار می گیرد، CryWiper نام دستگاه قربانی را به سرور فرمان و کنترل (C2) می فرستد و منتظر فرمان فعال سازی برای شروع یک حمله است.این از روشی مشابه با باج‌افزار پیروی می‌کند، با عملکردهایی از جمله حذف کپی سایه حجمی برای جلوگیری از بازیابی فایل‌ها و زمان‌بندی خود در Windows Task Scheduler برای اطمینان از راه‌اندازی مجدد هر پنج دقیقه.CryWiper همچنین خدمات MS SQL، MySQL، MS Active Directory و MS Exchange را متوقف می کند تا از خراب شدن فایل های مرتبط با آنها جلوگیری شود.محققان خاطرنشان کردند که اتصال به دستگاه‌های آلوده از طریق پروتکل دسک‌تاپ از راه دور (RDP) را نیز غیرفعال می‌کند و معتقدند که این امر باعث ناکام گذاشتن تلاش‌های تیم‌های امنیتی در واکنش به این حادثه می‌شود.این نشان‌دهنده انحراف از رفتار باج‌افزار معمولی است، زیرا بارهای پرداختی معمولاً دسترسی RDP را برای تسهیل حملات جانبی در سراسر شبکه‌ها حفظ می‌کنند.

تروجان/بیت‌کوین

در زمان نگارش این مقاله، کسپرسکی فقط حملات هدفمند CryWiper را در فدراسیون روسیه مشاهده کرده است. با توجه به ماهیت ناشناخته گروه کرای وایپر، و همچنین هدف استراتژیک تروجان در این مرحله، کسب و کارها باید نسبت به نشانه های محرمانه محموله هوشیار باشند.



این مطلب چقدر مفید بود ؟
 

دیدگاه ها

اولین نفر برای ثبت دیدگاه باشید !


hits