>

شیوع باج افزار جدید Matrix

نوشته شده توسط: shahin منتشر شده در: جدیدترین ها تاریخ: 2017-04-13 بازدید: 178 دیدگاه: 0

باج افزار Matrix با استفاده از میانبر های آلوده منتقل میشود

 

این باج افزار پیشتر یک تهدید جدی تلقی نمیشد اما اکنون از طریق یک موج گسترده ای از باج افزاران در حال انتشار میباشد و وقت آن رسیده تا با یک سیر عمیق در این باج افزار، ویژگی های آن را بشناسیم.

باج افزار Matrix، از طریق کرم و worm منتشر میشود و این قابلیت را دارد تا از طریق میان بر های ویندوز در خارج از ماشین آلوده شده نیز به انتشار آلودگی به دیگر سیستم ها بپردازد.


باج افزار Matrix از طریق بسته های قابل استخراج منتشر میشود

زمانی که باج افزار Matrix برای اولین بار در دسامبر 2016 شناسایی شد. مانند باج افزار های خطرناکی چون Cerber یا Spora توان توزیع وسیعی را نیز نداشت. اکنون که Matrix از شیوه ی پکیج های استخراج RIG از طریق کمپین های EITest استفاده میکند میتواند بسیار چالش برانگیز باشد.

بر اساس گزارشاتی از «برد دانکن» (مسئول تحقیق این باج افزار)، باج افزار Matrix از طریق سایت های هک شده انتقال میابد. زمانی که یک فرد از یکی از آن سایت ها بازدید میکند این اتفاق برای وی می افتد.

میتوانید کد های منبع وب سایت های هک شده را در زیر مشاهده کنید.


RIG Injection

 

بعضی از انواع باج افزار Matrix دارای قابلیت Worm میباشند که باعث پخش و آلوده شدن ماشین از طریق یک پوشه میان بر میشوند. پس از تحلیل این گونه مشخص شد که زمان رمزنگاری، باج افزار یک پوشه را مخفی میکند و یک میان بر به همان نام میسازد. سپس یک نسخه کپی از فایل اجرایی باج افزار میسازد و در قالب نام desktop.ini ذخیره میکند.

در تصویر پایین میتوانید پوشه هایی را که این باج افزار به میان بر تغییر داده است را مشاهده کنید:


پوشه های آلوده به میانبر

مشاهده میکنید که پوشه های دانلود و مدارک در قالب یک میان بر نمایان میشوند. اگر به properties این میان بر ها بروید، متوجه میشوید که قصد اجرای یک نرم افزار و برنامه را دارد.


میان بر های آلوده

فرمان های اجرایی کامل این میان بر ها به صورت زیر میباشد:

%SystemRoot%\system32\cmd.exe /C explorer.exe "Documents" & type "Documents\desktop.ini" > "%TEMP%\OSw4Ptym.exe" && "%TEMP%\OSw4Ptym.exe"

به کمک مثال بالا، زمانی که کاربر سعی در باز کردن پوشه Documents داشته باشد، اقدامات زیر به صورت خودکار انجام میشود.

1.      استفاده از explorer.exe برای شروع به کار پوشه documents، تا کاربر بتواند فایل های خود را بدون مشکل مشاهده کند و هیچگونه مشکلی به نظر نرسد.

2.      کپی محتویات پوشه Documents که فایل هایی چون desktop.ini میباشد که در واقع همان فایل اجرایی باج افزار میباشد. %temp%\OSw4Ptym.exe

3.      اجرای فایل %temp$\OSw4ptym

4.      Matrix اکنون سیستم را آلوده میکند، یا اگر بر روی یک سیستم از قبل آلوده اجرا شود سیستم را برای رمزنگاری فایل های جدید اسکن میکند.

این روش، به Matrix اجازه میدهد که از طریق درایو های اشتراک گذاری شده ی شبکه و درایو ها USB پخش و تکثیر شود.

بر چسب ها:
     




دیدگاهتان را بنویسید

ضد هرزنامه

captcha

2008 - 2015 ©
کلیه حقوق مادی و معنوی متعلق به شرکت پانا فناور پارسیان می باشد
برگرفته از اپن کارت فارسی