امنیت

کشف باج افزار جدیدی که با ابزار جستجوی ویندوز از همه چیز سوء استفاده می کند

محققان امنیتی در Trend Micro یک نوع باج افزار جدید را کشف کرده اند که از رابط های برنامه نویسی اپلیکیشن یک ابزار موتور جستجوی شخص ثالث ویندوز به نام Everything سوء استفاده می کند. این باج افزار که Trend Micro آن را Mimic نامیده، کاربران روسی و انگلیسی زبان را هدف قرار می دهد. این باج افزار دارای قابلیت های زیر است:

  • جمع آوری اطلاعات سیستم
  • دور زدن کنترل حساب کاربری (UAC)
  • غیرفعال کردن ویندوز دیفندر
  • غیرفعال کردن تله متری ویندوز
  • فعال کردن اقدامات ضد خاموشی
  • جدا کردن درایوهای مجازی
  • خاتمه فرآیندها و خدمات
  • غیرفعال کردن حالت خواب و خاموش شدن سیستم
  • حذف نشانگرها
  • جلوگیری از بازیابی سیستم

حمله باج افزار زمانی شروع می شود که قربانی یک فایل اجرایی احتمالاً از طریق ایمیل دریافت می کند. پس از راه‌اندازی، فایل چهار فایل دیگر را بر روی سیستم هدف استخراج می‌کند (نشان داده شده در بالا)، از جمله بار اصلی، فایل‌های تکمیلی و ابزارهایی برای غیرفعال کردن ویندوز دیفندر.

پس از استخراج فایل‌ها، Mimic از قابلیت‌های جستجوی Everything با استفاده از فایل «Everything32.dll» برای جستجوی نام‌ها و پسوند فایل‌های خاص در سیستم آسیب‌دیده استفاده می‌کند. این باج‌افزار را قادر می‌سازد تا فایل‌های قابل رمزگذاری را شناسایی کند و از مواردی که در صورت قفل شدن سیستم را غیرقابل استفاده می‌کنند، اجتناب کند.

در نهایت، Mimic پسوند .QUIETPLACE را به فایل های رمزگذاری شده اضافه می کند و یک یادداشت باج را نمایش می دهد. تقاضای باج که باید به بیت کوین پرداخت شود، بر اساس تعداد فایل های رمزگذاری شده محاسبه می شود. برای محافظت از رایانه خود در برابر حملات باج‌افزار، همیشه هنگام باز کردن ایمیل‌ها و پیوست‌های ناخواسته محتاط باشید و از بازدید از سایت‌های بالقوه مخرب خودداری کنید.

همچنین مطمئن شوید که برنامه های امنیتی شما همیشه به روز می شوند تا بتوانند به درستی باج افزار را شناسایی و حذف کنند. در نهایت، تهیه نسخه پشتیبان از فایل های خود را در یک سیستم ذخیره سازی اکسترنال مانند درایو فلش، هارد دیسک یا فضای ابری به یک عادت تبدیل کنید. به این ترتیب، حتی اگر باج افزار فایل های شما را رمزگذاری کند، می توانید به راحتی از یک نسخه پشتیبان بازیابی کنید.

منبع
neowin
نمایش بیشتر

نوشته های مشابه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

دکمه بازگشت به بالا