نخستين باج افزار با استفاده از روش حمله Process Doppelgänging

به نقل از کانال sgap حمله ‏process doppelganging از يكي از قابليت هاي ويندوز بهره ميبرد. براي مثال : تعاملات NTFS و به كارگيري يك process loader آپديت نشده.اين روش روي تمامي نسخه هاي ويندوز ازجمله ويندوز ١٠ قابل اجرا ميباشد. نحوه كار چيست ؟ اين نوع حمله با استفاده از NTFS Transactions ، پردازش بدافزار را با پردازش اصلي،قانوني و معتبر در حافظه عوض ميكند. بدين ترتيب آنتي ويروس ها و ابزارهاي مانيتورينگ فكر ميكنند كه يك پردازش معتبر و قانوني در حال اجراست... محققان امنيتي Kaspersky خبر از اين باج افزار با ويرايش SynAck دادند كه از اين روش براي جلوگيري از شناسايي كدهاي مخرب استفاده ميكند.

SynAck FES باج افزار


اين باج افزار روي كشورهاي آمريكا،كويت،آلمان و ايران اجرا شده و نكته جالب اينجاست كه كشورهاي روسيه بلاروس و اوكراين و تاجيكستان و ازبكستان شامل اين حال نميشوند! براي اينكه باج افزار بداند روي كدام سيستم ها اجرا شود و روي كدام اجرا نشود، زبان صفحه كليد سيستم را چك ميكند و اگر مطابق rule هاي باج افزار بود شروع به رمزنگاري ميكند و براي عدم رمزنگاري بعد از ٣٠ ثانيه يك پردازش exit process ميفرستد تا از اجراي كدهاي مخرب جلوگيري شود.بهتر است هميشه از اطلاعات خود بك آپ داشته باشيد تا قرباني اين گونه حملات نباشيد…این باج افزار میتواند صفحه لاگین ویندوز را تغییردهد و همچنین امکان پاک کردن لاگ ها را نیز دارد . همیشه مراقب فایل‌هایی که توسط ایمیل برای شما ارسال می‌شود باشید .

نویسنده : امیر مقدمی
منبع : news.tosinso.com
هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی می باشد
#نحوه_عملکرد_process_doppelganging #ransomware_چیست #باج_افزار_process_doppelganging #معرفی_باج_افزارها #باج_افزار_synack_fes #نحوه_عملکرد_باج_افزارها
3 نظر
محمد نصیری
بعضی از این تکنیک ها اینقدر خلاقانه طراحی میشن که واقعا جذاب هستن فارغ از بحث باج افزار بودنشون از لحاظ امنیتی جذاب هستند ، ولی نکته مهم اینجاست که میگیم یک Process Loader به روز نشده ، یعنی اگر به روز باشیم و آخرین Patch های امنیتی رو نصب کنیم از دست این باج افزار در امان هستیم درسته ؟
امیرعلی
بله دقیقا
محمد مرآتی شیرازی
مهندس نصیری عزیز
اگر براتون مقدور بود یک مقاله یا فیلم آموزشی درباره این باج افزارها وشیوه عملکردشون وراههای مقابله باهاشون در سایت قرار بدید چون این در تخصص شماس و خیلی ها با این موضوع درگیر هستن . توی مجموعه مشتریان ما روزی نیست که به ما خبر نابود شدن اطلاعاتشون توسط این ویروس نرسه
نظر شما
برای ارسال نظر باید وارد شوید.
تنظیمات حریم خصوصی
تائید صرفنظر
×

تو می تونی بهترین نتیجه رو تضمینی با بهترین های ایران بدست بیاری ، پس مقایسه کن و بعد خرید کن : فقط توی جشنواره بهاره می تونی امروز ارزونتر از فردا خرید کنی ....