تا %60 تخفیف خرید با صدور مدرک برای 2 نفر فقط تا
00 00 00

نخستين باج افزار با استفاده از روش حمله Process Doppelgänging

به نقل از کانال sgap حمله ‏process doppelganging از يكي از قابليت هاي ويندوز بهره ميبرد. براي مثال : تعاملات NTFS و به كارگيري يك process loader آپديت نشده.اين روش روي تمامي نسخه هاي ويندوز ازجمله ويندوز ١٠ قابل اجرا ميباشد. نحوه كار چيست ؟ اين نوع حمله با استفاده از NTFS Transactions ، پردازش بدافزار را با پردازش اصلي،قانوني و معتبر در حافظه عوض ميكند. بدين ترتيب آنتي ويروس ها و ابزارهاي مانيتورينگ فكر ميكنند كه يك پردازش معتبر و قانوني در حال اجراست... محققان امنيتي Kaspersky خبر از اين باج افزار با ويرايش SynAck دادند كه از اين روش براي جلوگيري از شناسايي كدهاي مخرب استفاده ميكند.

SynAck FES باج افزار

اين باج افزار روي كشورهاي آمريكا،كويت،آلمان و ايران اجرا شده و نكته جالب اينجاست كه كشورهاي روسيه بلاروس و اوكراين و تاجيكستان و ازبكستان شامل اين حال نميشوند! براي اينكه باج افزار بداند روي كدام سيستم ها اجرا شود و روي كدام اجرا نشود، زبان صفحه كليد سيستم را چك ميكند و اگر مطابق rule هاي باج افزار بود شروع به رمزنگاري ميكند و براي عدم رمزنگاري بعد از ٣٠ ثانيه يك پردازش exit process ميفرستد تا از اجراي كدهاي مخرب جلوگيري شود.بهتر است هميشه از اطلاعات خود بك آپ داشته باشيد تا قرباني اين گونه حملات نباشيد…این باج افزار میتواند صفحه لاگین ویندوز را تغییردهد و همچنین امکان پاک کردن لاگ ها را نیز دارد . همیشه مراقب فایل‌هایی که توسط ایمیل برای شما ارسال می‌شود باشید .

نویسنده : امیر مقدمی

منبع : news.tosinso.com

هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی می باشد

3 نظر
محمد نصیری

بعضی از این تکنیک ها اینقدر خلاقانه طراحی میشن که واقعا جذاب هستن فارغ از بحث باج افزار بودنشون از لحاظ امنیتی جذاب هستند ، ولی نکته مهم اینجاست که میگیم یک Process Loader به روز نشده ، یعنی اگر به روز باشیم و آخرین Patch های امنیتی رو نصب کنیم از دست این باج افزار در امان هستیم درسته ؟

امیرعلی

بله دقیقا

محمد مرآتی شیرازی

مهندس نصیری عزیز

اگر براتون مقدور بود یک مقاله یا فیلم آموزشی درباره این باج افزارها وشیوه عملکردشون وراههای مقابله باهاشون در سایت قرار بدید چون این در تخصص شماس و خیلی ها با این موضوع درگیر هستن . توی مجموعه مشتریان ما روزی نیست که به ما خبر نابود شدن اطلاعاتشون توسط این ویروس نرسه

نظر شما
برای ارسال نظر باید وارد شوید.
از سرتاسر توسینسو
تنظیمات حریم خصوصی
تائید صرفنظر