درخواست های ارتباط
جستجو
    لیست دوستان من
    صندوق پیام
    همه را دیدم
    • در حال دریافت لیست پیام ها
    صندوق پیام
    رویدادها
    همه را دیدم
    • در حال دریافت لیست رویدادها
    همه رویدادهای من
    اطلاعات مطلب
      مدرس/نویسنده
      میلاد سورانی
      امتیاز: 1701
      رتبه:843
      0
      2
      8
      110
      دوره های مرتبط

      ترکیب دو باج‌ افزار مخرب Petya و Mischa

      تاریخ 22 ماه قبل
      نظرات 0
      بازدیدها 198
      به تازگی، Ransomware یا باج افزاری که پیش از این MBR را تخریب می‌کرد، قادر به نصب کردن یک برنامه رمزنگاری ثانویه شده است.

      به تازگی باج‌افزار Petya، در مواردی که نمی‌تواند Master Boot Record یا MSR کامپیوتر را مورد هدف قرار دهد و رمزگذاری کند، یک برنامه ی ثانویه را به صورت Bundle در سیستم قربانی اجرا می‌کند تا فرآیند رمزگذاری کل سیستم عامل صورت گرفته و جهت ارائه رمز مربوطه، از کاربر تقاضای پول نماید.

      Petya، یک تهدید باج‌افزاری غیرعادی می‌باشد که اولین بار در ماه مارس توسط محققان امنیتی رویت گردید. این باج‌افزار به جای رمزگذاری مستقیم بر روی فایل‌های کاربر، Master File Table یا MTF را که توسط پارتیشن‌های دیسک NTFS برای نگهداری اطلاعات مربوط به نام، اندازه و موقعیت مکانی فایل بر روی دیسک فیزیکی به کار می‌رود، رمزگذاری می‌نماید. قبل از رمزگذاری MFT، این باج‌افزار، Master Boot Record یا به اختصار MBR را جایگزین می‌نماید که شامل کدی برای راه‌اندازی Bootloader سیستم عامل می‌باشد. این کار با جایگزینی کد مخرب مخصوص Petya صورت می‌گیرد که در نتیجه آن پیغام Ransom Note نمایش داده شده و کامپیوتر قادر به Boot کردن نخواهد بود.

      البته نکته مهم آن است که جهت Overwrite کردن MBR در کامپیوتر قربانی، این بدافزار باید دسترسی Administrator Privilege داشته باشد. این فرآیند با درخواست دسترسی از کاربران از طریق مکانیسم (User Account Control (UAC در ویندوز صورت می‌گیرد.

      در نسخه‌های قبلی، روند معمول آلودگی سیستم در صورت عدم دسترسی این باج‌افزار به Administrator Privilege متوقف می‌گردید. به همین دلیل یک برنامه باج‌افزاریِ دیگر به نام باج افزار Mischa توسط آخرین نسخه ی باج افزار Petya نصب می‌گردد که رمزگذاری فایل‌های کاربران را به صورت مستقیم انجام داده و نیاز به دسترسی خاصی نخواهد داشت.

      Lawrence Abrams اظهار داشت که برای Developerهای باج‌افزار، چیزی بدتر از صرف هزینه نمی‌باشد؛ که این موضوع دقیقا درباره باج افزار Petya رخ می‌دهد. باج افزار Mischa بر خلاف باج افزار Petya ، یک باج افزار استاندارد محسوب می‌شود که فایل‌هایی را رمزگذاری نموده و سپس کاربر جهت دریافت کلید رمزگشایی آن، مستلزم پرداخت هزینه می‌باشد.

      یکی دیگر از نقاط تمایز Mischa، رمزگذاری فایل‌های اجرایی (.EXE) علاوه بر اسناد، تصاویر، ویدئوها و سایر فایل‌های ایجاد شده توسط کاربر که مورد توجه برنامه‌های باج‌افزاری قرار می‌گیرند، می‌باشد. Mischa این پتانسیل را داراست که برنامه‌های نصب شده و سیستم عامل را در یک حالت غیر کاربردی قرار داده و پرداخت هزینه جهت دریافت کد رمزگشایی را از سیستم آلوده دشوارتر سازد.

      برنامه قابل نصب برای ترکیب دو باج افزار Petya و Mischa از طریق ایمیل‌های اسپم توزیع می‌شود که به شکل درخواست‌های شغلی مطرح می‌شوند. این ایمیل‌ها شامل یک لینک برای سرویس‌های ذخیره‌سازی آنلاین می‌شوند که دارای یک تصویر از متقاضی و فایل اجرایی مخرب به شکل یک فایل pdf می‌باشد.

      در صورت دانلود و اجرای این فایل pdf جعلی، در ابتدا تلاش می‌شود تا Petya نصب گردد که اگر موفق به انجام این کار نگردد، باج افزار Mischa را نصب خواهد کرد. بر خلاف Petya که برای آن یک ابزار کشف رمز در دسترس قرار دارد، در حال حاضر هیچ روش شناخته شده‌ای برای بازیابی فایل‌های رمزگذاری شده توسط Mischa بدون پرداخت هزینه وجود ندارد.
      برچسب ها
      مطالب مرتبط

      در حال دریافت اطلاعات

      نظرات
      هیچ نظری ارسال نشده است

        برای ارسال نظر ابتدا به سایت وارد شوید

        arrow
        دوره های وب سایت توسینسو

        با دوره های وب سایت توسینسو به همراه برترین اساتید ایران دانش خود را به روز کنید و در کنار آموزش آنلاین پشتیبانی اساتید را هم داشته باشید

        شبکه و زیر ساخت، مجازی سازی، امنیت اطلاعات، برنامه نویسی، گرافیک، اینترنت اشیاء، طراحی وب و صدا ها دوره آموزشی دیگر

        تا 150،000 تومان شارژ هدیه

        همین امروز شروع کنید