سیستم‌عامل و نرم‌افزار

فناوری اطلاعات

September 7, 2016
17:27 چهارشنبه، 17ام شهریورماه 1395
کد خبر: 79687

شناسایی نرم افزار مخرب جدید/ سوء استفاده از آپدیت ویندوز

نرم افزار مخربی (باج افزار) که با استفاده از شکل مبدل، شبیه آپدیت سیستم عامل ویندوز عمل کرده و به سیستم های رایانه ای کاربران نفوذ می کند، شناسایی شد.
Fantom باج افزاری است که خود را به شکل آپدیت ویندوز نشان می دهد.
 
اگرچه اغلب به کاربران توصیه می شود که سیستم عامل و نرم افزار خود را به طور منظم به‌روزرسانی کنند اما اگر آسیب پذیری ها رفع نشود، می توانند مورد استفاده نرم افزار های مخرب قرار گیرند. «فانتوم » نیز یک نمونه نادر از باج افزارهایی است که از ایده آپدیت ها سوء استفاده می کند.
 
از نظر فنی، Fantom بسیار شبیه دیگر باج افزارها است. این باج افزار در واقع بر پایه کد اپن سورس EDA۲، که توسط Utku Sen به عنوان بخشی از یک آزمایش شکست خورده توسعه داده شد، ایجاد شده است. این نمونه یکی از چندین کریپتولاکرهای EDA۲ است اما با این فرق که Fantom در فعالیت هایش تلاش می کند خود را به شکل مبدلی درآورد و شناسایی نشود.
 
این باج افزار با لباس مبدل به عنوان یک به‌روزرسان مهم در ویندوز نمایان می شود و هنگامی که نرم افزار مخرب شروع به کار می کند، تنها یک فعالیت عملی نمی شود، بلکه دو برنامه اجرا می شود. به این معنی که هم رمزگذاری انجام می شود و هم برنامه کوچکی با اسم WindowsUpdate.exe را نشان می دهد.
 
آپدیت جعلی ویندوز
 
شیوه شیوع این باج افزار تاکنون شناسایی نشده است اما مراکز تحقیقاتی امنیتی اعلام کرده اند که پس از آنکه این باج افزار به یک سیستم نفوذ کند، روال آن همانند دیگر باج افزارها خواهد بود. به این شیوه که یک کلید رمزنگاری ایجاد می‌کند، آن را رمزنگاری کرده و در سرور فرمان و کنترل به منظور استفاده بعدی، ذخیره می کند.
 
زمانی که تروجان کامپیوتر را اسکن کرد، به دنبال فایل هایی همچون فایل های اداری، صوتی و عکس می گردد که بتواند آن ها را رمزگذاری کند. پس از این مرحله اسم فایل ها به fantom تغییر می یابد و پس از آن به منظور واقعی بودن این شبیه سازی، صفحه نمایش به روزرسانی ویندوز واقعی نشان داده می شود؛ در حالی که fantom  در حال رمزنگاری فایل های کاربر در پس زمینه است.
 
این ترفند طوری طراحی شده که ذهن قربانیان از فعالیت های مشکوک بر روی کامپیوتر خود منحرف کند. آپدیت جعلی ویندوز در حالت فول اسکرین اجرا می شود که در عین حال دسترسی به دیگر برنامه های دیگر محدود می شود. اگر کاربران در این حین مشکوک شوند آنها می توانند با فشار دادن دکمه Ctrl+F۴ صفحه فول اسکرین را کوچک کنند اما حتی این کار هم کفایت نمی کند و رمزنگاری فایل ها متوقف نمی شود.
 
هنگامی که رمزنگاری تمام شد، fantom تمام رد خود را از بین می برد (فایل های اجرایی را حذف می کند)، یک یادداشت .html ransom ایجاد می کند، از آن کپی می گیرد و در هر پوشه‌ای قرار می‌دهد و تصویر دسکتاپ را با یک نوتیفیکیشن جایگزین می‌کند. مجرم یک آدرس ایمیلی را آماده می‌کند تا قربانی بتواند آن را به اصطلاح تاچ کند که در آن ایمیل، اطلاعاتی در مورد شرایط پرداخت و دستورالعمل های بیشتر ذکر شده است.
 
ارائه اطلاعات تماس معمولا برای هکرها به زبان روسی است. به هرحال موارد دیگر هم نشان می‌دهد که بیشتر جرایم ریشه در روسیه دارد. آدرس ایمیل Yandex.ru است و از نظر انگلیسی ها چنین چیزی بسیار بد است.
 
چند پیشنهاد
 
در این نمونه هیچ راهی برای رمزگشایی فایل ها به غیر از پرداخت باج وجود ندارد بنابراین، بهترین روش در وهله اول این است که از تبدیل شدن به یک قربانی جلوگیری شود.
 
پیشنهاد می شود از اطلاعات خود به طور منظم بک آپ گیری کنید، از فایل های بک آپ گیری شده یک نمونه کپی بگیرید و آن را در یک درایو خارجی که اتصال آن با اینترنت قطع است ذخیره کنید. داشتن بک آپ به این معنی است که شما قادر به بازگرداندن سیستم و فایل های خود می شوید، حتی اگر کامپیوتر شما آلوده شده باشد.
 
احتیاط کنید، هرگز پیوست ایمیل های مشکوک را باز نکنید. از وب سایت های مشکوک دوری کنید و بر روی تبلیغات آنلاین مشکوک کلیک نکنید، Fantom هم مانند هر بدافزار دیگری  ممکن است از هر راهی برای حمله به سیستم شما استفاده کند.
 
از یک راهکار امنیتی قوی و آنتی ویروس استفاده کنید.
  • مشترک شوید!

    برای عضویت در خبرنامه روزانه ایستنا؛ نشانی پست الکترونیکی خود را در فرم زیر وارد نمایید. پس از آن به صورت خودکار ایمیلی به نشانی شما ارسال میشود، برای تکمیل عضویت خود و تایید صحت نشانی پست الکترونیک وارد شده، می بایست بر روی لینکی که در این ایمیل برایتان ارسال شده کلیک نمایید. پس از آن پیامی مبنی بر تکمیل عضویت شما در خبرنامه روزانه ایستنا نمایش داده میشود.

    با عضویت در خبرنامه پیامکی آژانس خبری فناوری اطلاعات و ارتباطات (ایستنا) به طور روزانه آخرین اخبار، گزارشها و تحلیل های حوزه فناوری اطلاعات و ارتباطات را در هر لحظه و هر کجا از طریق پیام کوتاه دریافت خواهید کرد. برای عضویت در این خبرنامه، مشترکین سیمکارت های همراه اول لازم است عبارت 150 را به شماره 201464 و مشترکین سیمکارت های ایرانسل عبارت ozv ictn را به شماره ۸۲۸۲ ارسال کنند. دریافت موفق هر بسته خبری که محتوی پیامکی با حجم ۵پیامک بوده و ۴ تا ۶ عنوان خبری را شامل میشود، ۳۵۰ ریال برای مشترک هزینه در بردارد که در صورتحساب ارسالی از سوی اپراتور مربوطه محاسبه و از اعتبار موجود در حساب مشترکین سیمکارت های دائمی کسر میشود. بخشی از این درآمد این سرویس از سوی اپراتور میزبان شما به ایستنا پرداخت میشود. مشترکین در هر لحظه براساس دستورالعمل اعلامی در پایان هر بسته خبری قادر خواهند بود اشتراک خود را در این سرویس لغو کنند. هزینه دریافت هر بسته خبری برای مشترکین صرفا ۳۵۰ ریال خواهد بود و این هزینه برای مشترکین در حال استفاده از خدمات رومینگ بین الملل اپراتورهای همراه اول و ایرانسل هم هزینه اضافه ای در بر نخواهد داشت.