گزارش تحلیلی بدافزار SAVETHEQUEEN MALWARE
یکی از # بدافزارهای رمزگذار فایل ¬های سیستم می¬ باشد که در اواخر نوامبر 2019 میلادی طراحی شده و در دسامبر 2019 میلادی انتشار یافته است. این بدافزار برخلاف # باج_افزار ها هیچگونه فایل راهنما جهت تماس با مهاجمان ایجاد نکرده و تنها به رمز کردن فایل¬های سیستم اکتفا می¬کند. براساس گفته ¬های محققان، الگوریتم مورد استفاده شده در این بدافزار AES-256می -باشد و از طریق فایل¬ های مخرب ایمیل¬ های اسپم، وب¬سایت¬های مخرب و موجود در تورنت و تبلیغات مخرب وارد سیستم می-شود. همچنین براساس یافته¬ ها، باج¬ افزاری نیز قبل از این با این نام انتشار یافته¬ است که عملکرد مشابهی را در سیستم داشته ولی از تفاوت¬های آن می¬توان به وجود فایل راهنما اشاره کرد. این بدافزار توانایی رمزگذاری فایل¬ های با متن فارسی را داشته و آن-ها را بدون استفاده می¬کند.
Panda_Adaptive_Defense_360# تنها ابزار مطمئن و قطعی برای جلوگیری از نفوذ #باج افزار ها و سایر انواع #بدافزار ها به سیستم شما می باشد.
http://shop.pandairan.ir/product/panda-ad360-1-50/
یکی از # بدافزارهای رمزگذار فایل ¬های سیستم می¬ باشد که در اواخر نوامبر 2019 میلادی طراحی شده و در دسامبر 2019 میلادی انتشار یافته است. این بدافزار برخلاف # باج_افزار ها هیچگونه فایل راهنما جهت تماس با مهاجمان ایجاد نکرده و تنها به رمز کردن فایل¬های سیستم اکتفا می¬کند. براساس گفته ¬های محققان، الگوریتم مورد استفاده شده در این بدافزار AES-256می -باشد و از طریق فایل¬ های مخرب ایمیل¬ های اسپم، وب¬سایت¬های مخرب و موجود در تورنت و تبلیغات مخرب وارد سیستم می-شود. همچنین براساس یافته¬ ها، باج¬ افزاری نیز قبل از این با این نام انتشار یافته¬ است که عملکرد مشابهی را در سیستم داشته ولی از تفاوت¬های آن می¬توان به وجود فایل راهنما اشاره کرد. این بدافزار توانایی رمزگذاری فایل¬ های با متن فارسی را داشته و آن-ها را بدون استفاده می¬کند.
Panda_Adaptive_Defense_360# تنها ابزار مطمئن و قطعی برای جلوگیری از نفوذ #باج افزار ها و سایر انواع #بدافزار ها به سیستم شما می باشد.
http://shop.pandairan.ir/product/panda-ad360-1-50/
به گزارش مرکز ماهر، یک حفرهی امنیتی در درایورهای مادربرد گیگابایت شناسایی شده که میتواند منجر به آلودهشدن سیستم کاربر به باج افزاری به نام #رابین_هود شود.
این حفرهی امنیتی که با شناسهی "CVE-2018-19320" بهثبت رسیده است، در یک درایور سطح هستهی گیگابایت به نام "gdrv.sys" نهفته است که به مهاجم، امکان دسترسی به مجوزهای ممنوعه را میدهد.
بهطور معمول، فرایندهای امنیتی ویندوز فقط توسط درایورهای هسته ازکار میافتند. بهمنظور جلوگیری از سوءاستفاده از درایورهای هسته، مایکروسافت یک مکانیسم تأیید امضای درایور را پیادهسازی کرده است که فقط درایورهای هسته با هماهنگی #مایکروسافت قابل نصب هستند.
اما اکنون مهاجمان، یک درایور آسیبپذیر شناختهشدهی گیگابایت را نصب کرده و از یک آسیبپذیری شناختهشده برای غیرفعالکردن ویژگی اجرای امضای درایور مایکروسافت سوءاستفاده کردند.
#گیگابایت استفاده از این درایور را کنار گذاشته اما هنوز بر روی هزاران رایانه یافت میشود و تهدیدی برای کاربران آنها است. متأسفانه امضای دیجیتال این درایور هنوز باطل نشده است و ویندوز همچنان اجازهی نصب آنرا میدهد.
در حملات انجامشده، مهاجم از طریق این درایور آسیبپذیر گیگابایت، یک درایور دیگر را به سیستم تزریق میکند که قادر به از کار انداختن محصولات امنیتی، عبور از لایههای امنیتی ویندوز و نصب باجافزار رابینهود است.
اپراتورهای رابینهود در حملات خود طبق مراحل زیر عمل میکنند:
- نفوذ به شبکه شرکت هدف،
- نصب درایور مشروع Gigabyte GDRV.SYS
- بهرهبرداری از آسیبپذیری درایور فوق جهت دسترسی به هسته،
- سوءاستفاده از این دسترسی برای غیرفعالسازی موقت امضای دیجیتال درایور در ویندوز،
- استفاده از درایور مخرب هسته RBNL.SYS جهت غیرفعالسازی یا متوقفکردن آنتیویروسهای میزبان آلوده،
- راهاندازی باج افزار رابینهود و رمزنگاری فایلهای قربانی.
قربانیان این #باج_افزار باید برای #رمزگشایی فایلهای خود مبلغی بپردازند و اگر از پرداخت خودداری کنند، مبلغ باج روزانه 10 هزار دلار بالا میرود.
محققان معتقدند که راهی برای کمک به کاربران و جلوگیری از این حمله در سیستمهای دارای ویندوز 7، 8 و 10 وجود ندارد و کاربران باید همچنان از نرمافزارهای امنیتی خود برای جلوگیری از حملات استفاده کنند.
این حفرهی امنیتی که با شناسهی "CVE-2018-19320" بهثبت رسیده است، در یک درایور سطح هستهی گیگابایت به نام "gdrv.sys" نهفته است که به مهاجم، امکان دسترسی به مجوزهای ممنوعه را میدهد.
بهطور معمول، فرایندهای امنیتی ویندوز فقط توسط درایورهای هسته ازکار میافتند. بهمنظور جلوگیری از سوءاستفاده از درایورهای هسته، مایکروسافت یک مکانیسم تأیید امضای درایور را پیادهسازی کرده است که فقط درایورهای هسته با هماهنگی #مایکروسافت قابل نصب هستند.
اما اکنون مهاجمان، یک درایور آسیبپذیر شناختهشدهی گیگابایت را نصب کرده و از یک آسیبپذیری شناختهشده برای غیرفعالکردن ویژگی اجرای امضای درایور مایکروسافت سوءاستفاده کردند.
#گیگابایت استفاده از این درایور را کنار گذاشته اما هنوز بر روی هزاران رایانه یافت میشود و تهدیدی برای کاربران آنها است. متأسفانه امضای دیجیتال این درایور هنوز باطل نشده است و ویندوز همچنان اجازهی نصب آنرا میدهد.
در حملات انجامشده، مهاجم از طریق این درایور آسیبپذیر گیگابایت، یک درایور دیگر را به سیستم تزریق میکند که قادر به از کار انداختن محصولات امنیتی، عبور از لایههای امنیتی ویندوز و نصب باجافزار رابینهود است.
اپراتورهای رابینهود در حملات خود طبق مراحل زیر عمل میکنند:
- نفوذ به شبکه شرکت هدف،
- نصب درایور مشروع Gigabyte GDRV.SYS
- بهرهبرداری از آسیبپذیری درایور فوق جهت دسترسی به هسته،
- سوءاستفاده از این دسترسی برای غیرفعالسازی موقت امضای دیجیتال درایور در ویندوز،
- استفاده از درایور مخرب هسته RBNL.SYS جهت غیرفعالسازی یا متوقفکردن آنتیویروسهای میزبان آلوده،
- راهاندازی باج افزار رابینهود و رمزنگاری فایلهای قربانی.
قربانیان این #باج_افزار باید برای #رمزگشایی فایلهای خود مبلغی بپردازند و اگر از پرداخت خودداری کنند، مبلغ باج روزانه 10 هزار دلار بالا میرود.
محققان معتقدند که راهی برای کمک به کاربران و جلوگیری از این حمله در سیستمهای دارای ویندوز 7، 8 و 10 وجود ندارد و کاربران باید همچنان از نرمافزارهای امنیتی خود برای جلوگیری از حملات استفاده کنند.
شارژر، پرهزینه ترین باج افزار برای کاربران تلفن های هوشمند
اخیراً، یک #باج_افزار جدید کشف شده به نام #شارژر، که تمام داده های شخصی و پیام ها و ... را از #تلفن_همراه کپی کرده و از صاحب گوشی درخواست دسترسی مدیریتی می کند. در صورت غفلت و پذیرش این درخواست، بلافاصله کد مخرب خود را تزریق و اجرا میکند و به مالک گوشی هشدار میدهد که دستگاه شما مسدود شده و اطلاعات گوشی شما در #وب_تاریک فروخته خواهد شد، مگر اینکه باج پرداخت شود.
گرانترین باج
قربانیان شارژر باید 0.2 بیت کوین (با قیمت تقریبی 10.000 دلار برای #بیتکوین معادل 2.000 دلار) تا بتواند دستگاه خود را از حالت قفل خارج کنند.
شارژر از طریق برنامه صرفه جویی در مصرف برق که می تواند از #Google_Play، بارگیری شود، به دستگاههای #Android حمله می کند.
حملات جدید هر روز اتفاق می افتند و می توانند هر کسی را غافلگیر کنند، ماهیت غیرقابل پیش بینی حملاتی مانند شارژر، لزوم استفاده از یک ضدویروس پیشرفته اورجینال را خاطر نشان می کند. پیشنهاد ما استفاده از #ضدویروس #اندروید #پاندا می باشد.
http://shop.pandairan.ir/pms-1dev
اخیراً، یک #باج_افزار جدید کشف شده به نام #شارژر، که تمام داده های شخصی و پیام ها و ... را از #تلفن_همراه کپی کرده و از صاحب گوشی درخواست دسترسی مدیریتی می کند. در صورت غفلت و پذیرش این درخواست، بلافاصله کد مخرب خود را تزریق و اجرا میکند و به مالک گوشی هشدار میدهد که دستگاه شما مسدود شده و اطلاعات گوشی شما در #وب_تاریک فروخته خواهد شد، مگر اینکه باج پرداخت شود.
گرانترین باج
قربانیان شارژر باید 0.2 بیت کوین (با قیمت تقریبی 10.000 دلار برای #بیتکوین معادل 2.000 دلار) تا بتواند دستگاه خود را از حالت قفل خارج کنند.
شارژر از طریق برنامه صرفه جویی در مصرف برق که می تواند از #Google_Play، بارگیری شود، به دستگاههای #Android حمله می کند.
حملات جدید هر روز اتفاق می افتند و می توانند هر کسی را غافلگیر کنند، ماهیت غیرقابل پیش بینی حملاتی مانند شارژر، لزوم استفاده از یک ضدویروس پیشرفته اورجینال را خاطر نشان می کند. پیشنهاد ما استفاده از #ضدویروس #اندروید #پاندا می باشد.
http://shop.pandairan.ir/pms-1dev