کشف باج افزار جدیدی که با ابزار جستجوی ویندوز از همه چیز سوء استفاده می کند
محققان امنیتی در Trend Micro یک نوع باج افزار جدید را کشف کرده اند که از رابط های برنامه نویسی اپلیکیشن یک ابزار موتور جستجوی شخص ثالث ویندوز به نام Everything سوء استفاده می کند. این باج افزار که Trend Micro آن را Mimic نامیده، کاربران روسی و انگلیسی زبان را هدف قرار می دهد. این باج افزار دارای قابلیت های زیر است:
- جمع آوری اطلاعات سیستم
- دور زدن کنترل حساب کاربری (UAC)
- غیرفعال کردن ویندوز دیفندر
- غیرفعال کردن تله متری ویندوز
- فعال کردن اقدامات ضد خاموشی
- جدا کردن درایوهای مجازی
- خاتمه فرآیندها و خدمات
- غیرفعال کردن حالت خواب و خاموش شدن سیستم
- حذف نشانگرها
- جلوگیری از بازیابی سیستم
حمله باج افزار زمانی شروع می شود که قربانی یک فایل اجرایی احتمالاً از طریق ایمیل دریافت می کند. پس از راهاندازی، فایل چهار فایل دیگر را بر روی سیستم هدف استخراج میکند (نشان داده شده در بالا)، از جمله بار اصلی، فایلهای تکمیلی و ابزارهایی برای غیرفعال کردن ویندوز دیفندر.
پس از استخراج فایلها، Mimic از قابلیتهای جستجوی Everything با استفاده از فایل «Everything32.dll» برای جستجوی نامها و پسوند فایلهای خاص در سیستم آسیبدیده استفاده میکند. این باجافزار را قادر میسازد تا فایلهای قابل رمزگذاری را شناسایی کند و از مواردی که در صورت قفل شدن سیستم را غیرقابل استفاده میکنند، اجتناب کند.
در نهایت، Mimic پسوند .QUIETPLACE را به فایل های رمزگذاری شده اضافه می کند و یک یادداشت باج را نمایش می دهد. تقاضای باج که باید به بیت کوین پرداخت شود، بر اساس تعداد فایل های رمزگذاری شده محاسبه می شود. برای محافظت از رایانه خود در برابر حملات باجافزار، همیشه هنگام باز کردن ایمیلها و پیوستهای ناخواسته محتاط باشید و از بازدید از سایتهای بالقوه مخرب خودداری کنید.
همچنین مطمئن شوید که برنامه های امنیتی شما همیشه به روز می شوند تا بتوانند به درستی باج افزار را شناسایی و حذف کنند. در نهایت، تهیه نسخه پشتیبان از فایل های خود را در یک سیستم ذخیره سازی اکسترنال مانند درایو فلش، هارد دیسک یا فضای ابری به یک عادت تبدیل کنید. به این ترتیب، حتی اگر باج افزار فایل های شما را رمزگذاری کند، می توانید به راحتی از یک نسخه پشتیبان بازیابی کنید.
