>

باج افزار Erebus دسترسی UAC را میبندد و درخواست 90 دلار باج میکند

نوشته شده توسط: shahin منتشر شده در: جدیدترین ها تاریخ: 2017-04-28 بازدید: 8 دیدگاه: 0

یک نمونه از باج افزار جدید به نام Erebus توسط تیم تحقیقاتی MalwareHunter در VirusTotal شناخته شده است. این باج افزار به احتمال زیاد یک گونه ی جدید میباشد که پیشتر در سپتامبر 2016  زمزمه هایی از آن شنیده میشد.

درحال حاضر مشخص نیست که این باج افزار Erebus چگونه در میان کاربران یا قربانیان خود عرضه میشود. با این حال بررسی این باج افزار و گونه ی آلوده نشان میدهد که این مورد ویژگی های جالبی را نیز دارد. اولین ویژگی و قابل توجه ترین آن، میزان درخواست باج کم آن میباشد که تقریبا چیزی حدود 90 دلار درخواست میکند. ویژگی جالب دیگر این باج افزار، استفاده از یک UAC Bypass به منظورر اجرای باج افزار بدون نشان دادن دسترسی های ادمین توسط یک اخطاريه UAC میباشد. از این طریق، شیوه رمزنگاری فایل های سیستم قربانی بسیار سریعتر و بدون متوجه شدن خود کاربر ازز  سیستم خود میشود.

 

چگونگی رمزنگاری باج افزار Erebus

زمانی که Erebus بر روی سیستم اجرا میشود. به درگاه http://ipecho.net/plain و http://ipinfo.io/country  جهت شناسایی آی پی سیستم کاربر و کشوری که در آن حضور دارد متصل میشود. سپس یک فایل Thor Clientرا نیز دانلود کرده و از طریق آن به سرور کنترل و فرمان متصل میشود.

Erebus سپس شروع به اسکن سیستم قربانی میکند و فایل هایی با فرمت های مشخص را جستجو میکند. زمانی که یک فایل هدف را پیدا میکند. فایل را از طریق الگوریتم رمزنگاری AES کد میکند.
همچنین میتوانید لیست فرمت فایل هایی که توسط این باج افزار رمزنگاری میشوند را مشاهده کنید:

.accdb, .arw, .bay, .cdr, .cer, .crt, .crw, .dbf, .dcr, .der, .dng, .doc, .docm, .docx, .dwg, .dxf, .dxg, .eps, .erf, .indd, .jpe, .jpg, .kdc, .mdb, .mdf, .mef, .mrw, .nef, .nrw, .odb, .odm, .odp, .ods, .odt, .orf, .pdd, .pef, .pem, .pfx, .png, .ppt, .pptm, .pptx, .psd, .pst, .ptx, .raf, .raw, .rtf, .rwl, .srf, .srw, .txt, .wpd, .wps, .xlk, .xls, .xlsb, .xlsm, .xlsx

زمانی که این باج افزار فایل مشخصی را رمزنگاری میکند. پسوند فایل را با استفاده از الگوریتم ROT-23 کد میکند. به عنوان مثال یک فایل به نام Test.jpg به فایلی چون Test.msj تغییر نام و فرمت  میدهد.


نمونه ای از فایل های کد شده

 

در حین این پروسه ی کاری، Erebus درایو های Shadow copies ویندوز را پاکسازی میکند تا آخرین امکان احیا و بازیابی فایل ها به حداقل برسد. فرمان CMD برای پاکسازی این درایو ها:

cmd.exe /C vssadmin delete shadows /all /quiet && exit

زمانی که پروسه ی رمزنگاری تمام میشود. یادداشتی مبنی بر محتویات اطلاعات سیستم کاربر، شناسه کاربری قربانی (برای پرداخت به باج گیر) و دیگر اطلاعات موجود بر روی صفحه دسکتاپ کامپیوتر ساخته میشود. نام فایل README.HTML میباشد.


یادداشت باج افزار

همچنین باج افزار Erebus یک پنجره بر روی صفحه نمایش قربانی مبنی بر رمزنگاری فایل های سیستم قربانی نشان میدهد.


اخطار رمزنگاری فایل سیستم قربانی

 

متاسفانه در حال حاضر هیچ راهی برای رمزگشایی فایل های قفل شده بر روی سیستم قربانیان وجود ندارد. برای پیشگیری و دچار نشدن به باج افزار کلیک کنید





دیدگاهتان را بنویسید

ضد هرزنامه

captcha

2008 - 2015 ©
کلیه حقوق مادی و معنوی متعلق به شرکت پانا فناور پارسیان می باشد
برگرفته از اپن کارت فارسی