سیستم های عامل ویندوز، قربانیان باج افزار نوظهور
توسعه دهندگان: باج افزار BlueSky که از روش های مدرن برای فرار از ابزار دفاع امنیتی استفاده می نماید، سیستم عامل ویندوز را هدف قرار داده و از تکنیک چندنخی(Multithreading) برای رمزگذاری فایل های سیستم هدف استفاده می نماید.
به گزارش توسعه دهندگان به نقل از ایسنا، باج افزار BlueSky بعد از رمزگذاری، پسوند فایل های رمزگذاری شده را به پسوند فایل bluesky تغییر می دهد و مهاجمان به قربانیان اعلام می کنند که برای رمزگشایی فایل های خود باید نرم افزار ویژه BlueSky DECRYPTOR آنان را خریداری کنند و پرداخت فقط با بیتکوین انجام می شود؛ در صورتیکه قربانیان به درخواست مهاجمان در خصوص پرداخت بیتکوین، اعتنایی نکنند، کلید خصوصی قربانیان برای بازیابی اسناد، عکس ها، پایگاه داده ها و سایر فایل های مهم سیستم های قربانی، در ۱۳ روز و ۲۳ ساعت و ۵۹ دقیقه و ۵۶ ثانیه برای همیشه از بین می رود.
برمبنای تحقیقات انجام گرفته در ارتباط با شناسایی رفتار این باج افزار، معماری رمزگذاری چند نخی دارای شباهت هایی با کد نسخه ۳ باج افزار Conti بوده و زیربرنامه هایی (ماژول ها) که برای جست وجوی شبکه استفاده شده اند، یک رونوشت دقیق از این باج افزار است. باج افزار BlueSky بعد از رمزگذاری اسناد، عکس ها، پایگاه داده ها و سایر فایل های مهم قربانیان، برای رمزگشایی درخواست بیتکوین می کند.
کارشناسان مرکز مدیریت راهبردی افتا می گویند باج افزار BlueSky چندین تکنیک مقابله با تجزیه وتحلیل، را پیاده سازی می کند که به آن اجازه می دهد اسامی عملکرد رابط های برنامه نویسی ویندوز (Windows API)را مبهم کند. رمزگذاری رشته، مبهم سازی API و مکانیسم های ضداشکال زدایی نمونه ای از این مهارتها است.
علاوه بر این، BlueSky اسامی رابط های برنامه نویسی (API)را با استفاده روشی خاص، رمزگذاری می کند و مانع از تجزیه وتحلیل بدافزار می شود. برخلاف سایر باج افزارها که بطور معمول حاوی فهرستی از پسوندهای مجاز برای شناسایی فایل های واجد شرایط برای رمزگذاری هستند، BlueSky شامل فهرستی از پسوندهای غیرمجاز می باشد. باج افزار BlueSky از یک صف چند رشته ای برای رمزگذاری استفاده می کند؛ چندین رشته را شروع می کند؛ یکی مسئول رمزگذاری فایل و دیگری برای شمارش فایل ها در سیستم فایل محلی و اشتراک گذاری های شبکه برای اضافه شدن به صف خواهد بود.
طبق اعلام مرکز مدیریت راهبردی افتا، نویسندگان باج افزار از مهارتهای پیشرفته و مدرن مانند رمزگذاری نمونه های مخرب یا تحویل و بارگیری باج افزار چند مرحله ای برای فرار از دفاع امنیتی استفاده می نمایند.
این باج افزار قادر می باشد فایل ها را روی میزبان ها با سرعت بالا و محاسبات چند رشته ای رمزگذاری کند؛ علاوه بر این، باج افزار از مهارتهای مبهم سازی مانند هش کردن رابط های برنامه نویسی (API)استفاده می کند تا تحلیل گر نتواند پروسه مهندسی معکوس را به سرعت انجام دهد. این احتمال وجود دارد که حملات باج افزار با مهارتهای رمزگذاری پیشرفته و مکانیسم های تحویل، افزایش یابد.
این مطلب را می پسندید؟
(1)
(0)
تازه ترین مطالب مرتبط
نظرات بینندگان در مورد این مطلب