>

باج افزار Mole از طریق فایل های ورد آنلاین جعلی منتشر میشود

نوشته شده توسط: shahin منتشر شده در: جدیدترین ها تاریخ: 2017-04-21 بازدید: 272 دیدگاه: 0

یک باج افزار جدید به نام Mole که به تازگی در تحلیل یکی از کمپین های اسپم پیدا شده است اقدام به انتشار از طریق فایل های جعلی ورد میکند. این باج افزار پس از بررسی، مشخص شد که شباهت های زیادی به خانواده باج افزاری Cryptomix دارند.

این موضوع از اهمیت بالایی برخوردار است زیرا که این باج افزار به خوبی شناخته نشده است پس در نتیجه آلودگی های زیاد و خسارات بسیاری ممکن از این طریق به سازمان ها وارد کند. همچنین این باج افزار از خانواده بزرگ CryptoMix میباشد.

قربانیان چگونه به دام این باج افزار می افتند

در حال حاضر این باج افزار از طریق ایمیل های Spam انتقال پیدا میکند که تظاهر میکنند اعلامیه های محموله و یا سفارشی میباشند. این ایمیل ها عنوان میکنند که یک بسته ارسالی دریافت نشده است و در پایین به وب سایتی لینک میشوند که اطلاعات تکمیلی در آنجا موجود میباشد. یکی از نمونه های این ایمیل های جعلی در پایین آمده است.

SS
ایمیل اسپم

زمانی که یک کاربر بر روی لینک موجود در ایمیل کلیک میکند. او به یک فایل جعلی ورد که به صورت آنلاین بر روی صفحه سایت موجود میباشد مرتبط میشود. همچنین فایل های ورد به هم ریخته را به شما نشان میدهد و عنوان میکند که این فایل در مرورگر شما قابل خواند نیست و قربانی میبایست یک پلاگین یا افزونه را دانلود کرد و نصب نماید. میتوانید یک نمونه از این فایل ورد جعلی را در پایین مشاهده کنید.


 

اگر کاربر بر روی لینک دانلود کلیک کند، یک فایل به نام pluginoffice.exe را دانلود میکند. اگر این فایل ها اجرا شوند، باج افزار Mole نصب خواهد شد.

چگونگی آلوده شد فایل های قربانی به باج افزار Mole

به محض اجرای فایل اجرایی باج افزار، یک اخطار جعلی مبنی بر ترغیب کاربر به زدن کلید Ok را نمایان میکند که نتیجه ی آن غیرفعال کرد دسترسی UAC و دادن دسترسی ادمین  به باج افزار برای اجرای فایل اجرایی میباشد.
اخطار به شرح زیر است:

زمانی که شما OK را انتخاب کنید. شما با یک پیام کنترل حساب کاربر UAC مواجهه میشوید. که از شما میپرسد آیا مایل هستید C:\Windows\SysWOW64\wbem\WMIC.exe" process call create "%UserProfile%\pluginoffice.exe در این مسیر اجرا شود؟!

زمانی که قربانی بر روی YES کلیک کند، باج افزار دوباره شروع به گرفتن دسترسی ادمین و ایجاد یک آی دی شناسایی برای قربانی میکند. این شناسه سپس به یک سرور کنترل و دستور مرتبط میشود که با یک کلید رمزنگاری RSA-1024 ادغام شده است. این کلید رمزنگاری از طریق باج افزار بر روی سیستم کاربر و رمزنگاری فایل های سیستم قربانی به کار میرود.

سرانجام، آلودگی سیستم شما را برای فایل های هدف اسکن میکند و آنان را رمزنگاری میکند. زمانی که Mole به فایل ها مربوطه برخورد میکند از کلید رمزنگاری AES-256 استفاده میکند. فایل هار تغییر نام میدهد و پسوند .Mole را به آنان اضافه میکند.

همچنین در هر پوشه ای که باج افزار رمزنگاری میکند یک فایل یادداشت به نام INSTRUCTION_FOR_HELPING_FILE_RECOVERY.TXT به جا میگذارد. برخلاف دیگر باج افزاران که یک فایل HTML از خود به جا میگذارند.

یادداشت باج افزار به شرح زیر است:

متاسفانه در حال حاضر راه حلی برای بازگرداندن فایل های از دست رفته موجود نیست. و میبایست برای رمزگشای این باج افزار از سوی متخصصین صبور باشیم.





دیدگاهتان را بنویسید

ضد هرزنامه

captcha

2008 - 2015 ©
کلیه حقوق مادی و معنوی متعلق به شرکت پانا فناور پارسیان می باشد
برگرفته از اپن کارت فارسی