باجافزاری که روشهای مدرن برای اخاذی استفاده میکند
تاریخ انتشار: ۱۵ شهریور ۱۴۰۱ | کد خبر: ۳۵۹۴۵۲۸۷
ایتنا - باجافزار BlueSky که از روشهای مدرن برای فرار از ابزار دفاع امنیتی استفاده میکند، سیستم عامل ویندوز را هدف قرار داده و از تکنیک چندنخی(Multithreading) برای رمزگذاری فایلهای سیستم هدف استفاده میکند.
باجافزار BlueSky پس از رمزگذاری، پسوند فایلهای رمزگذاریشده را به پسوند فایل bluesky تغییر میدهد و مهاجمان به قربانیان اعلام میکنند که برای رمزگشایی فایلهای خود باید نرمافزار ویژه BlueSky DECRYPTOR آنان را خریداری کنند و پرداخت فقط با بیتکوین انجام میشود؛ در صورتی که قربانیان به درخواست مهاجمان مبنی بر پرداخت بیت کوین، اعتنایی نکنند، کلید خصوصی قربانیان برای بازیابی اسناد، عکسها، پایگاه دادهها و سایر فایلهای مهم سیستمهای قربانی، در ۱۳ روز و ۲۳ ساعت و ۵۹ دقیقه و ۵۶ ثانیه برای همیشه از بین میرود.
بیشتر بخوانید:
اخباری که در وبسایت منتشر نمیشوند!
به گزارش ایتنا از ایسنا، بر اساس تحقیقات انجامگرفته در رابطه با شناسایی رفتار این باجافزار، معماری رمزگذاری چند نخی دارای شباهتهایی با کد نسخه ۳ باجافزار Conti بوده و زیربرنامههایی (ماژولها) که برای جستوجوی شبکه استفاده شدهاند، یک رونوشت دقیق از این باج افزار است. باج افزار BlueSky پس از رمزگذاری اسناد، عکسها، پایگاه دادهها و سایر فایلهای مهم قربانیان، برای رمزگشایی درخواست بیت کوین میکند.
کارشناسان مرکز مدیریت راهبردی افتا میگویند باج افزار BlueSky چندین تکنیک مقابله با تجزیهوتحلیل، را پیادهسازی میکند که به آن اجازه میدهد نامهای عملکرد رابطهای برنامه نویسی ویندوز (Windows API)را مبهم کند. رمزگذاری رشته، مبهمسازی API و مکانیسمهای ضداشکالزدایی نمونه ای از این تکنیکها است.
علاوه بر این، BlueSky نامهای رابطهای برنامه نویسی (API)را با استفاده شیوهای خاص، رمزگذاری میکند و مانع از تجزیهوتحلیل بدافزار میشود. برخلاف سایر باج افزارها که معمولا حاوی لیستی از پسوندهای مجاز برای شناسایی فایلهای واجد شرایط برای رمزگذاری هستند، BlueSky شامل لیستی از پسوندهای غیرمجاز است. باج افزار BlueSky از یک صف چند رشتهای برای رمزگذاری استفاده میکند؛ چندین رشته را شروع میکند؛ یکی مسئول رمزگذاری فایل و دیگری برای شمارش فایلها در سیستم فایل محلی و اشتراکگذاریهای شبکه برای اضافه شدن به صف خواهد بود.
طبق اعلام مرکز مدیریت راهبردی افتا، نویسندگان باجافزار از تکنیکهای پیشرفته و مدرن مانند رمزگذاری نمونههای مخرب یا تحویل و بارگیری باجافزار چند مرحلهای برای فرار از دفاع امنیتی استفاده میکنند.
این باج افزار قادر است فایلها را روی میزبانها با سرعت بالا و محاسبات چند رشتهای رمزگذاری کند؛ علاوه بر این، باجافزار از تکنیکهای مبهمسازی مانند هش کردن رابطهای برنامه نویسی (API)استفاده میکند تا تحلیلگر نتواند فرآیند مهندسی معکوس را به سرعت انجام دهد. این احتمال وجود دارد که حملات باجافزار با تکنیکهای رمزگذاری پیشرفته و مکانیسمهای تحویل، افزایش یابد.
منبع: ايتنا
کلیدواژه: باج افزار حمله سایبری باج افزار BlueSky تکنیک ها فایل ها
درخواست حذف خبر:
«خبربان» یک خبرخوان هوشمند و خودکار است و این خبر را بهطور اتوماتیک از وبسایت www.itna.ir دریافت کردهاست، لذا منبع این خبر، وبسایت «ايتنا» بوده و سایت «خبربان» مسئولیتی در قبال محتوای آن ندارد. چنانچه درخواست حذف این خبر را دارید، کد ۳۵۹۴۵۲۸۷ را به همراه موضوع به شماره ۱۰۰۰۱۵۷۰ پیامک فرمایید. لطفاً در صورتیکه در مورد این خبر، نظر یا سئوالی دارید، با منبع خبر (اینجا) ارتباط برقرار نمایید.
با استناد به ماده ۷۴ قانون تجارت الکترونیک مصوب ۱۳۸۲/۱۰/۱۷ مجلس شورای اسلامی و با عنایت به اینکه سایت «خبربان» مصداق بستر مبادلات الکترونیکی متنی، صوتی و تصویر است، مسئولیت نقض حقوق تصریح شده مولفان در قانون فوق از قبیل تکثیر، اجرا و توزیع و یا هر گونه محتوی خلاف قوانین کشور ایران بر عهده منبع خبر و کاربران است.
خبر بعدی:
هشدار مایکروسافت به اندرویدیها
ایتنا - شرکت مایکروسافت دارندگان گوشی های مبتنی بر پلتفرم اندروید در مورد حمله نامرئی نرم افزاری که می تواند حساب های کاربر را خالی کند، هشدار داده شده است.
محققان مایکروسافت اخیراً کشف کردهاند که بسیاری از برنامههای اندرویدی به دلیل یک ضعف امنیتی رایج ممکن است در برابر حملات از راه دور، سرقت دادهها و سایر مسائل آسیبپذیر باشند. حداقل چهار مورد از این برنامه های تحت تأثیر، هر کدام بیش از ۵۰۰ میلیون نصب دارند. یکی از آنها به نام فایل منجیر شیائومی، حداقل یک میلیارد بار از سوی کاربران اندروید نصب شده است.
مشکلی که مایکروسافت کشف کرد بر برنامه های اندرویدی که فایل ها را با سایر برنامه ها به اشتراک می گذارند تأثیر می گذارد. این برنامه که با نام «جریان کثیف» شناخته میشود، به برنامههای مخرب اجازه میدهد تا فایلی را با نام فایل یا مسیر دستکاری شده به برنامه دیگری ارسال کنند.
این روش به مهاجمان فرصتی برای ایجاد یک برنامه نفوذی می دهد که می تواند یک فایل با نام فایل مخرب را مستقیماً بدون اطلاع یا تأیید کاربر به یک برنامه دریافت کننده ارسال کند. به گفته مایکروسافت، زمانی که یک هدف اشتراکگذاری نام فایل مخربی را دریافت میکند، از نام فایل برای راهاندازی فرآیندی استفاده میکند که ممکن است با در معرض خطر قرار گرفتن برنامه به پایان برسد.
در نتیجه برنامه هدف گمراه می شود و به نام یا مسیر فایل اعتماد می کند و فایل را در یک دایرکتوری حیاتی اجرا یا ذخیره می کند.