محققان شرکت Trend Micro باج افزار پیشرفته ای با ویژگی بدون فایل fileless , شناسایی کرده اند که در بستر شبکه منتشر شده و پس از دسترسی یافتن از راه دور به دستگاه قربانی کد مخرب خود را در یکی از پروسه های سیستمی تزریق می کند . این باج افزار پس از پایان خرابکاری با هدف پاکسازی ردپای خود از روی سیستم حذف می شود. بر اساس بررسی های انجام شده این باج افزار که sorebrect نامگذاری شده بر خلاف باج افزارهای رایج هر دو سیستم های سرور و ایستگاه کاری را هدف قرار می دهد .
این باج افزار در اولین مرحله حملات سعی و خطا Brute Force و برخی روش های دیگر می کوشد تا با دسترسی Administrator به دستگاه قربانی متصل شود در ادامه با بهره گیری از ابزار مجاز sysinternals psExec که امکان اجرای از راه دور کد را فراهم می کند . کد مخرب خود را در یکی از پروسه های سیستمی نظیر svchost.exe تزریق کرده و فایل های بر روی دستگاه و فایل های ذخیره شده در پوشه های اشتراکی متصل شده به آن را که کاربر هک شده به آنها دسترسی نوشتن دارد رمزگذاری می کند
این باج افزار به فایل های رمزگذاری شده پسوند pr0tect. را الصاق می کند
از دیگر اقدامات انجام شده توسط این باج افزار حذف سوابق Event logs و نسخه های shadow copy بترتیب با استفاده از پروسه های wevtutil.exe و vssadmin است.
این باج افزار با استفاده از شبکه مخرب Tor ارتباطات خود را با سرورهای فرماندهی مخفی می کند
هر چند نخستین آلودگی به این باج افزار در منطقه خاورمیانه گزارش شده اما به نظر می رسد که آلودگی به این باج افزار به سرعت در نقاط دیگر جهان در حال گسترش است
هدف این باج افزار ماندگار کردن کد مخرب بدافزار بدون ذخیره آن به صورت فایل بر روی دیسک سخت است

درباره مدیر سایت

ارسال دیدگاه

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *