باج‌افزار Apocalypse؛ پروتکل کنترل از راه دور رایانه :: پارس دانلود

كد ساعت و تاريخ

تور دبی

پارس دانلود

امنیت ، شبکه ، بازی های رایانه ای ، اخبار سایبری ...

پارس دانلود

امنیت ، شبکه ، بازی های رایانه ای ، اخبار سایبری ...

پارس دانلود

امام علی (ع) می فرماید:
هیچ گناهکاری را نا امید مکن، چه بسیار گناهکاری که عاقبت به خیر گشته
و چه بسیار خوش کرداری که در پایان عمر تباه شده و جهنمی گشته است.

Dear friends, it's best to look at the history of these 50 years We rebelled when there was no better ally than the United States for America Once we resurrected, we did not even know how to handle an old tank We rebelled when even the food in Iran was not enough for all people Once we resurrected, we did not even know what the real meaning of war was When we rose, everyone said that Iran was the most stable country in the region and now... We are the strongest regional power in terms of political stability We are the strongest country in the region in the military field We are the strongest region in the field of new science We are the strongest country in the field of manufacturing all types of missiles We are the strongest country in the region in terms of national, local, regional and family security We are the strongest cyberwar region in the region We are the strongest country in the field of domestic production (of course, our present president is an animal in all respects destroying the country, I love tramp) We are the strongest country in the region for the use of nuclear technology (and the region's poorest country in the field of nuclear weapons production (because our religious scholars consider this as equal to the war on God) We are the best in the world in the field of science production We are a member of the best countries in the field of medicine and family health We are a member of the best nations in the field of nanotechnology And... But before the revolution, we were only the military power of the region But before the revolution, we were the largest producer of crude oil But before the revolution, people were dying from the lack of science, food, lost culture, and so on .... But before the revolution, we were the only importer But before the revolution we had no private science But before the revolution, we had no scientist inside Iran But before our revolution our doctors were Indian But before the revolution, we did not know how to build a tower And... Please tell me which one is better? Before the revolution or after the revolution

لوگو روشنگری
طبقه بندی موضوعی
مهدویت امام زمان (عج)

باج‌افزار Apocalypse؛ پروتکل کنترل از راه دور رایانه

Unknown _rt | سه شنبه, ۱۵ تیر ۱۳۹۵، ۱۰:۰۰ ق.ظ

پروتکل کنترل از راه دور رایانه، روشی که باج‌افزار Apocalypse برای حملات خود از آن استفاده می‌کند.

یکی از روش‌های جدید کار در باج‌افزارها استفاده از پروتکل کنترل از راه دور رایانه  برای آلوده کردن دستگاه‌هاست. محققان شرکتEmsisoft با هشدار در این زمینه اعلام کرده‌اند یک گروه از باج‌افزارها جدیداً در حال استفاده از این روش هستند.

در ابتدای ماه می، یک باج‌افزار با نام Apocalypse شناسایی شد. این باج‌افزار با استفاده از کلمات عبور ضعیف در کارگزارهای نامطمئن ویندوز اقدام به کنترل از راه دور رایانه‌ها کرده و از این رایانه‌ها به‌عنوان اولین و مهم‌ترین عامل حمله خود استفاده می‌کرد. این باج‌افزار با استفاده از پروتکل کنترل از راه دور رایانه، می‌تواند تمام عوامل حمله خود را وارد رایانه کند. در این شرایط نیز عوامل طراح این باج‌افزار می‌توانند از رایانه آلوده‌شده هر استفاده ممکن را بکنند.

 بنا به تحقیقات و مشاهدات محققان شرکت Emsisoft، اولین نوع طراحی‌شده از این باج‌افزار اقدام به نصب %appdata%\windowsupdate.exe می‌کند و سپس این بخش اقدام به ساخت یک کلید اجرا  با نام windows update  در دو بخش HKEY_CURRENT_USER  و HKEY_LOCAL_MACHINE می‌کند. این باج‌افزار سپس پسوند encrypted. را به نام پرونده‌های رمزنگاری‌شده ضمیمه می‌کند و یک یادداشت باج‌خواهی را در کنار هر پرونده قرار می‌دهد. این باج‌افزار در پایان نشانی‌های رایانامه‌ای زیر را در یادداشت باج‌خواهی قرار می‌دهد:

dr.compress(at)us۱.l.a/ dr.compress(at)bk.ru/

dr.jimbo(at)bk.ru/

dr.decrypter(at)bk.ru/

 

نوع دوم طراحی‌شده این باج‌افزار در اوایل ماه ژوئن مشاهده شد. این نوع با نصب عامل خطر %ProgramFiles%\windowsupdate.exe اقدام به ساخت یک کلید اجرا با نام windows update svc‌ می‌کند و در یادداشت باج‌خواهی خود، نشانی رایانامه‌ای decryptionservice@mail.ru را قید می‌کند. در تاریخ ۲۲ ژوئن، نوع سوم این باج‌افزار نیز کشف شد که با نصب %ProgramFiles%\firefox.exe و ایجاد یک کلید اجرا با نام firefox update checker مقدمات حمله خود را فراهم می‌کند. این نوع در پایان با ضمیمه کردن پسوند SecureCrypted. به پایان نام پرونده‌ها، اقدام به ساخت یادداشت باج‌خواهی می‌کند و نشانی رایانامه‌ای recoveryhelp@bk.ru را در یادداشت خود عنوان می‌کند.

 

این باج‌افزار قبل از آلوده کردن سامانه، در مورد زبان پیش‌فرض سامانه بررسی‌هایی را انجام می‌دهد. درصورتی‌که زبان سامانه روسی، اوکراینی و یا بلاروسی باشد، کار خود را ناتمام رها خواهد کرد. درصورتی‌که زبان پیش‌فرض در میان این زبان‌ها نباشد، باج‌افزار خود را به پرونده %ProgramFiles%\firefox.exe کپی می‌کند و سپس ویژگی این پرونده اجرایی را به مخفی  و سامانه‌ای  تغییر می‌دهد و در ادامه، برچسب زمانی پرونده را با استفاده از explorer.exe اصلاح می‌کند. پس‌ازاین مراحل، باج‌افزار یک مقدار اجرایی  را به کار می‌اندازد تا از این طریق اطمینان حاصل شود این مقدار در هر بار راه‌اندازی رایانه اجرا می‌شود.

 

این باج‌افزار پس از نصب شدن، پرونده جدید firefox.exe را اجرا می‌کند. این پرونده مأمور اجرای دو کار در رایانه آلوده‌شده است: بررسی مرتب و متناوب اجرای برخی فرآیندهای ویندوز و پایان دادن به آن‌ها در صورت اجرا و همچنین شروع رمزنگاری به روش عادی. این باج‌افزار همچنین یک لیست از درایوهای شبکه‌ای قابل‌حذف، تعمیر شده و دارای قابلیت کنترل از دور را فراهم می‌کند. در اینجا نکته قابل‌ذکر این است که این باج‌افزار در مورد درایوهای شبکه‌ای دور از دسترس رمزنگاری را انجام نمی‌دهد. محققان دلیل این امر را وجود یک اشکال در بخش رمزنگاری مرتبط با این درایوها می‌دانند.

 

این باج‌افزار بعد از فراهم کردن این لیست، اقدام به اسکن تمامی پوشه‌ها می‌کند و سپس تمام پرونده‌های موجود در این پوشه‌ها را رمزنگاری می‌کند. در این میان تنها پرونده‌های موجود در پوشه‌های ویندوز و همچنین پرونده‌هایی که در پایان نام خود پسوندهای زیر رادارند، رمزنگاری نمی‌شوند:

.exe,.dll,.sys,.msi,.com,.lnk,.tmp,.ini,.SecureCrypted,.bin,.bat,.dat,.Contact_Here_To_Recover_Your_Files.txt.

 

این باج‌افزار قبل از رمزنگاری یک پرونده، اقدام به بازبینی آن می‌کند تا اطمینان حاصل شود پرونده قبلاً رمزنگاری نشده باشد. درصورتی‌که این اتفاق رخ نداده باشد، باج‌افزار اقدام به رمزنگاری محتوای پرونده می‌کند. این کار با استفاده از الگوریتم XOR محور انجام می‌شود. نوع این الگوریتم در میان سه نوع موجود از این باج‌افزار اندکی متفاوت است. این باج‌افزار بعدازاین مراحل عدد جادویی و همچنین محتوای رمزنگاری‌شده را وارد پرونده می‌کند و در پایان پسوند SecureCrypted. را به نام پرونده ضمیمه می‌کند.

 

باج‌افزار Apocalypse همچنین در کنار این اقدامات، برچسب زمانی پرونده اصلی را حفظ می‌کند و سپس یادداشت باج‌خواهی را در پرونده قرار می‌دهد. این باج‌افزار همچنین پنجره‌ای را طراحی می‌کند که هم‌زمان با باز شدن یادداشت باج‌خواهی اجرا می‌شود و کاربر هر دو را می‌بیند. محققان همچنین اعلام کردند که نویسندگان و طراحان این باج‌افزار با ارسال یک رمز به شرکت Emsisoft، یک پیام توهین‌آمیز را درون آن قرار داده‌اند.

 

محققان شرکت Emsisoft بر این باورند که نرم‌افزارهای ضد بدافزار در مورد این باج‌افزارها کارایی لازم را ندارند. دلیل این امر این است که نفوذگران با کنترل از راه دور یک رایانه آلوده‌شده، به تمام بخش‌های آن دسترسی دارند و بنابراین می‌توانند بخش‌های امنیتی و حفاظی رایانه را غیرفعال کنند. درعین‌حال، یک رمزگشا در اختیار تمامی کاربران موردحمله این باج‌افزار قرار داده‌شده است که با استفاده از آن می‌توان تمامی پرونده‌های آلوده‌شده را به‌صورت رایگان بازگرداند.

 

شرکت Emsisoft همچنین خاطرنشان کرد: «مهم‌ترین خط دفاعی در این‌گونه موارد استفاده از کلمه‌ عبور مناسب است. این راهکار برای تمامی کاربران و حساب‌های آن‌ها لازم‌الاجرا است. این راهکار حتی برای حساب‌هایی که به‌ندرت از آن‌ها استفاده می‌شود نیز ضروری است. این حساب‌ها ممکن است به‌منظور آشنایی و آزمایش و یا برای استفاده از یک برنامه اصلی، ساخته‌شده باشند، اما درعین‌حال استفاده از راهکار کلمه ‌عبور امن در مورد این حساب‌ها هم توصیه می‌شود. همچنین نکته مهم و ضروری که در این زمینه توصیه می‌شود، غیرفعال کردن سامانه‌های کنترل از راه دور رایانه، در صورت عدم استفاده از آن‌هاست. راهکار دیگر اعمال محدودیت‌های مرتبط با آدرس IPبه‌منظور دسترسی این سامانه‌ها از شبکه‌های امن است.»

 

  • Unknown _rt

نظرات  (۰)

هیچ نظری هنوز ثبت نشده است

ارسال نظر

کاربران بیان میتوانند بدون نیاز به تأیید، نظرات خود را ارسال کنند.
اگر قبلا در بیان ثبت نام کرده اید لطفا ابتدا وارد شوید، در غیر این صورت می توانید ثبت نام کنید.
شما میتوانید از این تگهای html استفاده کنید:
<b> یا <strong>، <em> یا <i>، <u>، <strike> یا <s>، <sup>، <sub>، <blockquote>، <code>، <pre>، <hr>، <br>، <p>، <a href="" title="">، <span style="">، <div align="">
تجدید کد امنیتی