بایگانی‌های محافظت شده با رمز عبور به شناسایی بدافزار کمک می‌کنند

سپر گنبد کومودو زمان خواندن: 4 دقیقه

اگر نیاز به تحویل یا ذخیره اسناد محرمانه از طریق اینترنت دارید، قرار دادن آنها در یک "بایگانی" محافظت شده با رمز عبور، یکی از بهترین راه ها برای دور نگه داشتن چشمان کنجکاو است. بسیاری از کاربران با آرشیوهایی در قالب فایل‌های «زیپ» و برنامه‌هایی مانند WinZip آشنا هستند (دیگر مانند 7-Zip و WinRar هستند که عملکرد مشابهی را انجام می‌دهند). بایگانی به شما امکان می دهد چندین سند را در یک فایل ذخیره کنید و اندازه کلی فایل را فشرده کنید. نکته مهم این است که اگر از این آرشیو با رمز عبور محافظت کنید، محتویات آن را نیز رمزگذاری خواهید کرد. این بدان معنی است که توسط هر شخص ثالثی که آن را رهگیری کند غیرقابل خواندن خواهد بود. بایگانی را فقط می‌توان توسط گیرندگان مورد نظر باز کرد - افرادی که رمز عبور صحیح را برای آنها ارسال کرده‌اید. یک رمز عبور خوب انتخاب کنید، سال‌ها طول می‌کشد تا افراد غیرمجاز بتوانند فایل‌های شما را رمزگشایی کنند.

ممکن است تعجب آور باشد، اما نویسندگان بدافزار از این تکنیک امنیتی دقیق به دلایل مشابه استفاده می کنند. مانند شما، آنها نمی خواهند فایل هایشان توسط هیچ شخص ثالثی جدا از گیرنده مورد نظر خوانده شود. در این مورد، طرف سوم یک استاتیک است اسکنر آنتی ویروس در یک دروازه ایمیل، میزبان عمومی یا ماشین کاربران. گیرنده مورد نظر قربانی یک کلاهبرداری بدافزار است.

اگرچه بدافزار داخل بایگانی محافظت شده با رمز عبور توسط اسکنر AV قابل شناسایی نیست، اما این امر تضمین کننده موفقیت آمیز بودن آن نیست. رمزگذاری فقط به بدافزار اجازه عبور ایمن از طریق اینترنت و (آنها امیدوارند) روی دستگاه قربانی را می دهد. هنگامی که بدافزار شروع به اجرا کرد، در زمان واقعی تشخیص ویروس ارائه شده توسط نرم افزارهای امنیتی محبوب، تهدید را خنثی می کند. البته، این به این بستگی دارد که کاربر نهایی واقعاً یک AV نصب کرده باشد - و این استراتژی نویسنده بدافزار است.

همیشه درصدی از کاربران خانگی و تجاری وجود خواهند داشت که زمان واقعی ندارند آنتی ویروس در حال اجرا آنها انتظار ندارند که هر نمونه از بدافزار خود موفق شود، اما با توزیع آن در چنین حجم عظیمی، همچنین می دانند که در تعداد قابل توجهی از موارد موفق خواهد بود.

ما اخیرا بدافزار را با استفاده از این رویکرد دقیق مشاهده کردیم:

به نظر می رسد نویسنده خود را در ویژگی های فایل بیان کرده است:

یک جستجوی ساده در گوگل برای "MrFreeCrypt" نتایج زبان روسی را برای "نسل جدید رمزگذارها" برمی گرداند:

CryptService!!! Новое поколение крипторов. آنلاین 24/7 fud 0/44. گارانتی از 24 ساعت. ICQ: 6*******7 jabber: mrfreecrypt@j****r.ru ---- CryptService!!! نسل جدید رمزگذارها. شناسایی آنلاین 24/7 0/44. گارانتی 24 ساعته ICQ: 6*******7 jabber: mrfreecrypt@j****r.ru

نمی‌توانیم با اطمینان بگوییم که این همان شخص است، اما به نظر می‌رسد تصادفی بزرگ است.

خود فایل یک آرشیو خود استخراجی '7-zip' با دو فایل در داخل است:

 تاریخ زمان Attr اندازه نام فشرده ------------------- ----- ------------ -------- ---- ------------------ 2012-10-21 10:54:14 ....A 107 95 stub.vbs 2012-10-24 16:15 :24 ....A 113359 61353 sfx.exe ------------------- ----- ------------- ---------- ------------------ 113466 61448 2 فایل، 0 پوشه

"stub.vbs" یک اسکریپت ساده ویژوال بیسیک است که "sfx.exe" را با پارامتر خط فرمان زیر اجرا می کند:

تنظیم WshShell = WScript.CreateObject("WScript.Shell") WshShell.Run "sfx.exe -pfdhtu578h4j45nh49856856hyg"

"sfx.exe" یکی دیگر از آرشیوهای خود استخراجی است که تنها یک فایل اجرایی در آن وجود دارد - جزء واقعی بدافزار:

 تاریخ زمان Attr اندازه نام فشرده ------------------- ----- ------------ -------- ---- ------------------ 2012-10-25 00:15:16 ....A 20480 11712 input.exe -------- ----------- ----- ------------ ---------------------- -------- 20480 11712 1 فایل، 0 پوشه

به جای «7-zip»، «sfx.exe» در نوع دیگری از آرشیو است که به عنوان فایل «RAR» شناخته می‌شود. فایل RAR همچنین دارای رمز عبور و رمزگذاری شده است. بخش جالب اینجاست که RAR رمز رمزگشایی را به عنوان پارامتر خط فرمان "-p" می پذیرد. اسکریپت "stub.vbs" رمز عبور را از این طریق ارائه می دهد. این زنجیره تا اینجا به نظر می رسد:

[7-zip SFX] → stub.vbs → رمز عبور → [RAR+password SFX] → بدافزار

همانطور که قبلا ذکر شد، این به این معنی نیست حذف بدافزار فرآیند در نهایت موفقیت آمیز خواهد بود. به محض اینکه فایل در سیستم فایل محلی اجرا می شود، در زمان واقعی در معرض شناسایی قرار می گیرد اسکنرهای آنتی ویروس. با این حال، در برابر اسکنرهای استاتیک در سرویس‌های ذخیره‌سازی ابری، اسکن‌های «در صورت تقاضا» توسط کاربر یا اسکنرهای استاتیک در دروازه‌های ایمیل به خوبی کار می‌کند. زمانی که این موضوع را در نظر بگیرید کمی نگران‌کننده‌تر می‌شود به این معنی که از شناسایی توسط ارائه‌دهندگان ایمیل بزرگ مانند Yahoo، Google، Hotmail و دیگران جلوگیری می‌کند. به همین دلیل، کاربران باید مراقب محافظت از خود باشند. اول از همه، یک برنامه آنتی ویروس را از یک فروشنده معتبر نصب کنید. ثانیاً، پیوست‌ها را فقط روی ایمیل‌هایی که انتظارش را نداشتید، روی ایمیل‌های افرادی که نمی‌شناسید یا در نامه‌هایی که مشکوک یا هرزنامه هستند، باز نکنید.

مؤلفه واقعی بدافزار «اف بی آی» باج افزار است.

از طریق مقدار رجیستری زیر، خود را به عنوان یک برنامه اجرا خودکار نصب می کند:

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun] "GoogleChrome"="C:DOCUME~1UserLOCALS~1TempRarSFX0input.exe"

با غیرفعال کردن "Safe Mode" و "Safe Mode with Networking" با حذف کلیدهای رجیستری زیر از خود در برابر حذف محافظت می کند:

HKEY_LOCAL_MACHINESYSTEMCcurrentControlSetControlSafeBootMinimal* HKEY_LOCAL_MACHINESYSTEMCcurrentControlSetControlSafeBootNetwork*

سپس ورودی کاربر را مسدود می کند و یک صفحه قفل جعلی را نمایش می دهد که سعی می کند از قربانی پول اخاذی کند. صفحه نمایش به قربانی اطلاع می‌دهد که کامپیوتر آنها توسط FBI به دلیل سوء استفاده مشکوک قفل شده است و آنها باید ظرف 48 ساعت جریمه بپردازند تا قفل آن را باز کنند.