>

باج افزار Satan در غالب یک سرویس ویندوز نفوذ میکند

نوشته شده توسط: admin منتشر شده در: جدیدترین ها تاریخ: 2017-01-25 بازدید: 265 دیدگاه: 0

یک باج افزار جدید در قالب سرویس RaaS که یک سرویس ریکاوری میباشد نفوذ میکند.

این باج افزار Satan (به معنای اهریمن) میباشد که به تازگی کشف شده است. این سرویس به مجرم رایانه ای اجازه میدهد که یک حساب بسازند و از باج افزار معروف پیشین Satan یک نسخه دلخواه مربوط به خود را میسازند و سیستم ها را آلوده میکنند.

به محض اینکه باج افزار ساخته شود، تصمیم به عهده ی خود باج گیر میباشد که این مخرب را چگونه در بین سیستم ها و قربانیان خود توزیع کند. درحالی که RaaS وظیفه ی پرداخت رنسوم باج افزار و اضافه کردن موارد جدید را دارد. برای اینکه مجرم از این سرویس برای رمزنگاری سیستم ها استفاده میکند. سازنده ی اصلی باج افزار 30 درصد از کل مبلغ دریافتی از قربانی را به عنوان سهم خود برداشت میکند. بر اساس تبلیغاتی که از باج افزار Satan صورت گرفته است سازندگان میزان سهم و به اصطلاح عام سود خود را بر اساس قیمت دریافتی از قربانی برآورد میشود.

 


پیشنهاد باج افزار در وب سایت های زیر زمینی

 

سرویس باج افزار Satan

زمانی که شخصی برای اولین بار از این سرویس استفاده میکند با یک صفحه خوش آمدگویی مواجه میشود که در آن روند کار این باج افزار و چگونگی استفاده کاربر با آن را نمایش میدهد.

 

 
 

به محض اینکه کاربر یک حساب میسازد و وارد میشود با یک صفحه کنسول مراجع میشوند که در آن صفحات متعددی وجود دارد که میتوانند باج افزار را از راه های بسیاری پخش و توزیع کنند. این صفحات شامل بخش هایی چون Malwares , Droppers, Translate, Account, Notices,  و صفحات Messages میباشد.

اولین صفحه که پس از وارد شدن به حساب نشان داده میشود صفحه Malware (مخرب) میباشد که به مجرم اجازه میدهد که تنظیمات متعددی را از مدل ویرایش شده ی خودشان از باج افزار Satan پیکر بندی کنند. تنظیماتی از قبیل مشخص کردن میزان مبلغ پرداختی، مهلت پرداخت قربانی را انجام میدهد.

 


 

صفحه ی Droppers که در پایین نمایش داده میشود. به تولید کد هایی میپردازد که به طراحی آلودگی و مخرب ها کمک میکند.

 


Satan RaaS Droppers

 

صفحه ی Translate تنظیمات مربوط به زبان باج افزار را تغییر میدهد.

 


صفحه تنظیمات Translation

 

صفحه Account به باج گیر این قابلیت را میدهد که تعداد قربانیان و کاربران آلوده شده به این باج افزار را مشاهده کند.

 

 

ماهیت اصلی باج افزار Satan

زمانی که باج افزار Satan نصب میشود. در ابتدا یک اسکن اولیه انجام میدهد که آیا بر روی یک ماشین مجازی نصب شده است یا خیر، اگر نصب شده باشد پردازش ماشین را میبندد. به محض شروع، فایل اجرایی خود را بر روی پردازش taskhost.exe وارد میکند و شروع به رمزنگاری فایل های موجود بر روی سیستم میکند. در حال حاضر الگوریتم رمزنگاری که باج افزار Satan استفاده میکند ناشناخته است ولی فایل هایی با پسوند های زیر را هدف قرار میدهد:

.incpas, .mp4, .pab, .st6, .sas7bdat, .wmv, .backup, .drf, .ibank, .3ds, .odg, .cer, .tif, .cs, .dotx, .7z, .png, .bak, .ibz, .db3, .pbl, .3fr, .dxf, .nk2, .bkp, .mdf, .svg, .xlm, .3dm, .pct, .java, .pot, .sxi, .ibd, .sxw, .pspimage, .ppt, .kbx, .ppsm, .ndd, .txt, .pdb, .say, .backupdb, .fla, .swf, .asx, .accdt, .mp3, .ycbcra, .erf, .cr2, .pfx, .potx, .qby, .sqlite, .blend, .class, .pat, .odp, .gray, .qbw, .tib, .thm, .htm, .mos, .rm, .key, .std, .tlg, .lua, .pst, .sqlitedb, .grey, .cdr4, .dc2, .ce1, .ps, .tex, .eml, .xlam, .pages, .st8, .jar, .st7, .potm, .sdf, .db-journal, .pcd, .aspx, .rwl, .kpdx, .fmb, .xlr, .gry, .kc2, .oil, .moneywell, .xlk, .sti, .accdr, .oth, .c, .xml, .nd, .mdb, .pem, .erbsql, .bpw, .ffd, .ost, .pptm, .dwg, .zip, .qbm, .cdx, .des, .dng, .pdd, .cfp, .nyf, .cgm, .sldm, .xla, .odf, .raf, .crw, .mef, .raw, .x11, .nsd, .fff, .design, .dcs, .ptx, .al, .ns2, .bik, .back, .accdb, .nwb, .cpi, .ads, .odt, .sqlite3, .docm, .drw, .pl, .nx2, .fpx, .rdb, .otp, .msg, .accde, .agdl, .php, .csv, .py, .rtf, .ach, .sda, .ddd, .asf, .dotm, .cmt, .h, .hbk, .xlsx, .s3db, .tga, .wav, .iif, .dxb, .sql, .db, .sd0, .bgt, .djvu, .jpg, .doc, .craw, .mpg, .sxd, .kdc, .jpeg, .psafe3, .flac, .dtd, .act, .qba, .vob, .cdrw, .eps, .bkf, .mdc, .rar, .mov, .cdf, .m4v, .ab4, .bank, .pps, .cib, .dot, .dgc, .exf, .flv, .xlsb, .ddrw, .adb, .srw, .plc, .csh, .xls, .fxg, .otg, .pas, .xlt, .indd, .rwz, .xltx, .apj, .stw, .xltm, .orf, .ott, .qbb, .max, .cls, .obj, .docx, .dcr, .cdr3, .qbx, .pdf, .nef, .ots, .srt, .ddoc, .rat, .phtml, .m, .dbx, .nxl, .avi, .p12, .awg, .dbf, .ns3, .mmw, .prf, .wallet, .rw2, .jin, .odc, .qbr, .ppsx, .ns4, .wpd, .wps, .nsh, .dxg, .fhd, .dac, .wb2, .nrw, .odb, .ait, .jpe, .odm, .sldx, .fdb, .acr, .war, .oab, .sxc, .cpp, .r3d, .hpp, .asm, .st5, .stx, .xis, .dds, .xlsm, .p7c, .cdr5, .3g2, .mrw, .sr2, .html, .cdr, .idx, .st4, .bdb, .kdbx, .nsg, .der, .ods, .myd, .nop, .ppam, .pptx, .yuv, .xlw, .mfw, .nsf, .csl, .php5, .p7b, .crt, .asp, .srf, .jsp, .cdr6, .sxm, .iiq, .3gp, .ce2, .arw, .bay, .ai, .sxg, .psd, .3pr, .fh, .pef, .x3f, .sik, .bpp, .vmdk, .spi, .bup, .cvt, .bb, .fkc, .tjl, .dbk, .swp, .fb, .vib, .dtb, .bke, .old, .bkc, .jou, .rpb, .abk, .sav, .bkn, .tbk, .fbw, .vrb, .spf, .bk, .sbk, .umb, .ac, .vbk, .wbk, .mbk

 

وقتی که یک فایل را رمزنگاری میکند، نام آن را تغییر میدهد و پسوند .stn را به آخر فایل اضافه میکند. به عنوان مثال فایلی که نام test.jpg دارد ممکن است به فایلی به نام ahasd.stn. تغییر نام دهد. وقتی پردازش رمزنگاری انجام میشود یک فایل یادداشت (Note) به اسم HELP_DECRYPT_FILES.html در تمامی پوشه هایی که فایل های رمز شده موجود هستند میسازد.

به محض اتمام پردازش رمزنگاری، یک فرمان  C:\Windows\System32\cipher.exe" /W:C اجرا میکند که تمامی اطلاعات دیگر به جز فایل های حیاتی ویندوز را پاک میکند.

و در آخر یادداشت باج افزار نمایان میشود. این یادداشت حاوی اطلاعات و مشخصات شناسه کاربر و اطلاعات مربوط به پرداخت باج میباشد.

 

منبع: Bleepingcomputer.com

 





دیدگاهتان را بنویسید

ضد هرزنامه

captcha

2008 - 2015 ©
کلیه حقوق مادی و معنوی متعلق به شرکت پانا فناور پارسیان می باشد
برگرفته از اپن کارت فارسی