مراقب باشید - باج افزار Troldesh در کمین پرداخت های اینترنتی
محققان امنیتی مرکز محافظت در برابر باج افزار شرکت مایکروسافت (MMPC) به تازگی به وجود نسخه جدیدی از باج افزار Troldesh که Encoder.858 و Shade Ransomware نامیده شده است، پی بردهاند. در حالی که انواع مختلفی از باج افزارها در سراسر دنیا با ترفندهای متفاوتی پیوسته در حال تغییر و تحول هستند، این نسخه از Troldesh در فعالیتهای عملیاتی سیستمهای کامپیوتری تغییرات گستردهای ایجاد میکند و تهدید بزرگی برای چنین فعالیتهایی محسوب میشود. Troldesh از تهدید ایمیلهای شخصی کار خود را آغاز کرد و تا تهدید درگاه پرداخت Tor نیز پیش رفته است. جدیدترین نسخه Troldesh اخیرا از یک دارک وب (Dark Web) (به شبکهای گفته میشود که در دسترس عموم قرار نمیگیرد و بیشتر برای مقاصد غیرقانونی مورد استفاده قرار میگیرد و همهٔ فعالیتهای آن غیرقابل ردیابی و شناسایی است) استفاده کرده است و کاربران را وادار کرده است که به درگاه اختصاصی که توسط این باج افزار ایجاد شده است، مراجعه کرده و ID خاصی را که در یادداشت درخواست پول نوشته شده است، وارد کنند و سپس دستورالعملهای بیشتر را برای پرداخت مبلغ مورد نظر دریافت کنند. نسخههای قبلی این باج افزار به صورتی بود که ایمیلی برای قربانی ارسال میشد و هکر از فرد مورد نظر میخواست تا برای دریافت دستورالعملهای بیشتر برای پرداخت مبلغ مورد نظر، ایمیلی را به آدرس ایمیل نمایش داده شده، ارسال کند. محققان امنیتی غالبا برای مقابله با چنین باج افزارهایی، آدرسهای ایمیل ارسال شده توسط باج افزارها را به سرویسهایی که آنها را میزبانی میکردند، گزارش میکردند و سرویسهای میزبان نیز آنها را مسدود میکردند. درگاه پرداخت Tor در حال حاضر در دسترس نیست و بازیابی فایلها نیز غیر ممکن است. احتمالا افرادی که این باج افزار را کنترل میکنند، پیوسته تعدادی کافی از آدرسهای ایمیل را ایجاد میکنند و دست به ایجاد نسخه جدیدی از باج افزار میزنند که این آدرسهای ایمیل مختلف را در یاداشتهای درخواست پول که برای قربانی ارسال میشود، قرار دهد. هکرها تصمیم گرفتند از وب سایت Tor برای اهداف خود استفاده کنند. استفاده از وب سایت Tor برای قربانیان یا حداقل برای افرادی که قصد دارند برای رهایی از تهدید باج افزار مبلغ مورد خواست را بپردازند، خبر خوبی است. در صورتی که آدرسهای ایمیل ارسال شده مسدود شود، هیچ راهی برای تماس با هکرهای کنترل کننده این باج افزار وجود ندارد و قربانیان هیچ ابزاری برای بازیابی فایلها در اختیار ندارند و مسدود کردن وب سایتی که بر اساس سامانه نرم افزاری تور ایجاد شده است، برای شرکتهای امنیتی کمی دشوار است و یا حتی غیر ممکن است. Troldesh در یاداشت درخواست پول جدید خود، برای لیست کردن آدرسهای وبسایت Tor از طریق وبسایتهای onion.to و onion.cab،از پروکسی سرورهای (سروری که برای کامپیوترهای دیگر این امکان را ایجاد میکند که به طور غیر مستقیم با مقصدشان ارتباط برقرار کنند) Tor استفاده میکنند. طبق گفته مایکروسافت در حال حاضر سایت onion.cab در دسترس نیست و افرادی که قصد دارند پول درخواست شده از طرف هکرها را پرداخت کنند، میتوانند از طریق وارد کردن آدرس این سایت در مرورگر Tor بدون وارد کردن پسوند cab در انتهای آدرس، به این سایت دسترسی پیدا کنند. استفاده از افزونههای جدید در نسخه جدید این باج افزار از دو افزونه استفاده شده است که در انتهای فایلهای رمزگذاریشده افزوده شدهاند. این دو افزونه da_vinci_code و .magic_software_syndicate هستند. خطاهایی در یادداشت درخواست پول وجود دارد که تعداد آنها زیاد نیست. علاوه بر آن Troldesh در حال حاضر قادر است که انواع بیشتری از فایلها را رمزگداری کند و سیستمهای کاربران را با بدافزار جدیدی که Mexar نام دارد، آلوده کند. این بد افزار جدید است و مایکروسافت آن را برای اولین بار در تاریخ ۷ جولای (۱۷ تیر) مشاهده کرد و هنوز اطلاعات زیادی در مورد نحوه عملکرد این بد افزار وجود ندارد. در آماری که چند روز پیش توسط مایکروسافت منتشر شد، Troldesh به عنوان دهمین باج افزار فعال در ۳۰ روز گذشته رده بندی شده بود. گردآوری و انتشار : آنتی ویروس دکتر وب  |
توسط : drweb در تاریخ : 26-04-1395, 01:14 بازدیدها : 1396
مطالب مشابه :
بازدید کننده گرامی ، بنظر می رسد شما عضو سایت نیستید
پیشنهاد می کنیم در سایت ثبت نام کنید و یا وارد سایت شوید .
پیشنهاد می کنیم در سایت ثبت نام کنید و یا وارد سایت شوید .