زمان خواندن: 4 دقیقه
اگر نیاز به تحویل یا ذخیره اسناد محرمانه از طریق اینترنت دارید، قرار دادن آنها در یک "بایگانی" محافظت شده با رمز عبور، یکی از بهترین راه ها برای دور نگه داشتن چشمان کنجکاو است. بسیاری از کاربران با آرشیوهایی در قالب فایلهای «زیپ» و برنامههایی مانند WinZip آشنا هستند (دیگر مانند 7-Zip و WinRar هستند که عملکرد مشابهی را انجام میدهند). بایگانی به شما امکان می دهد چندین سند را در یک فایل ذخیره کنید و اندازه کلی فایل را فشرده کنید. نکته مهم این است که اگر از این آرشیو با رمز عبور محافظت کنید، محتویات آن را نیز رمزگذاری خواهید کرد. این بدان معنی است که توسط هر شخص ثالثی که آن را رهگیری کند غیرقابل خواندن خواهد بود. بایگانی را فقط میتوان توسط گیرندگان مورد نظر باز کرد - افرادی که رمز عبور صحیح را برای آنها ارسال کردهاید. یک رمز عبور خوب انتخاب کنید، سالها طول میکشد تا افراد غیرمجاز بتوانند فایلهای شما را رمزگشایی کنند.
ممکن است تعجب آور باشد، اما نویسندگان بدافزار از این تکنیک امنیتی دقیق به دلایل مشابه استفاده می کنند. مانند شما، آنها نمی خواهند فایل هایشان توسط هیچ شخص ثالثی جدا از گیرنده مورد نظر خوانده شود. در این مورد، طرف سوم یک استاتیک است اسکنر آنتی ویروس در یک دروازه ایمیل، میزبان عمومی یا ماشین کاربران. گیرنده مورد نظر قربانی یک کلاهبرداری بدافزار است.
اگرچه بدافزار داخل بایگانی محافظت شده با رمز عبور توسط اسکنر AV قابل شناسایی نیست، اما این امر تضمین کننده موفقیت آمیز بودن آن نیست. رمزگذاری فقط به بدافزار اجازه عبور ایمن از طریق اینترنت و (آنها امیدوارند) روی دستگاه قربانی را می دهد. هنگامی که بدافزار شروع به اجرا کرد، در زمان واقعی تشخیص ویروس ارائه شده توسط نرم افزارهای امنیتی محبوب، تهدید را خنثی می کند. البته، این به این بستگی دارد که کاربر نهایی واقعاً یک AV نصب کرده باشد - و این استراتژی نویسنده بدافزار است.
همیشه درصدی از کاربران خانگی و تجاری وجود خواهند داشت که زمان واقعی ندارند آنتی ویروس در حال اجرا آنها انتظار ندارند که هر نمونه از بدافزار خود موفق شود، اما با توزیع آن در چنین حجم عظیمی، همچنین می دانند که در تعداد قابل توجهی از موارد موفق خواهد بود.
ما اخیرا بدافزار را با استفاده از این رویکرد دقیق مشاهده کردیم:
به نظر می رسد نویسنده خود را در ویژگی های فایل بیان کرده است:
یک جستجوی ساده در گوگل برای "MrFreeCrypt" نتایج زبان روسی را برای "نسل جدید رمزگذارها" برمی گرداند:
CryptService!!! Новое поколение крипторов. آنلاین 24/7 fud 0/44. گارانتی از 24 ساعت. ICQ: 6*******7 jabber: mrfreecrypt@j****r.ru ---- CryptService!!! نسل جدید رمزگذارها. شناسایی آنلاین 24/7 0/44. گارانتی 24 ساعته ICQ: 6*******7 jabber: mrfreecrypt@j****r.ru
نمیتوانیم با اطمینان بگوییم که این همان شخص است، اما به نظر میرسد تصادفی بزرگ است.
خود فایل یک آرشیو خود استخراجی '7-zip' با دو فایل در داخل است:
تاریخ زمان Attr اندازه نام فشرده ------------------- ----- ------------ -------- ---- ------------------ 2012-10-21 10:54:14 ....A 107 95 stub.vbs 2012-10-24 16:15 :24 ....A 113359 61353 sfx.exe ------------------- ----- ------------- ---------- ------------------ 113466 61448 2 فایل، 0 پوشه
"stub.vbs" یک اسکریپت ساده ویژوال بیسیک است که "sfx.exe" را با پارامتر خط فرمان زیر اجرا می کند:
تنظیم WshShell = WScript.CreateObject("WScript.Shell") WshShell.Run "sfx.exe -pfdhtu578h4j45nh49856856hyg"
"sfx.exe" یکی دیگر از آرشیوهای خود استخراجی است که تنها یک فایل اجرایی در آن وجود دارد - جزء واقعی بدافزار:
تاریخ زمان Attr اندازه نام فشرده ------------------- ----- ------------ -------- ---- ------------------ 2012-10-25 00:15:16 ....A 20480 11712 input.exe -------- ----------- ----- ------------ ---------------------- -------- 20480 11712 1 فایل، 0 پوشه
به جای «7-zip»، «sfx.exe» در نوع دیگری از آرشیو است که به عنوان فایل «RAR» شناخته میشود. فایل RAR همچنین دارای رمز عبور و رمزگذاری شده است. بخش جالب اینجاست که RAR رمز رمزگشایی را به عنوان پارامتر خط فرمان "-p" می پذیرد. اسکریپت "stub.vbs" رمز عبور را از این طریق ارائه می دهد. این زنجیره تا اینجا به نظر می رسد:
[7-zip SFX] → stub.vbs → رمز عبور → [RAR+password SFX] → بدافزار
همانطور که قبلا ذکر شد، این به این معنی نیست حذف بدافزار فرآیند در نهایت موفقیت آمیز خواهد بود. به محض اینکه فایل در سیستم فایل محلی اجرا می شود، در زمان واقعی در معرض شناسایی قرار می گیرد اسکنرهای آنتی ویروس. با این حال، در برابر اسکنرهای استاتیک در سرویسهای ذخیرهسازی ابری، اسکنهای «در صورت تقاضا» توسط کاربر یا اسکنرهای استاتیک در دروازههای ایمیل به خوبی کار میکند. زمانی که این موضوع را در نظر بگیرید کمی نگرانکنندهتر میشود به این معنی که از شناسایی توسط ارائهدهندگان ایمیل بزرگ مانند Yahoo، Google، Hotmail و دیگران جلوگیری میکند. به همین دلیل، کاربران باید مراقب محافظت از خود باشند. اول از همه، یک برنامه آنتی ویروس را از یک فروشنده معتبر نصب کنید. ثانیاً، پیوستها را فقط روی ایمیلهایی که انتظارش را نداشتید، روی ایمیلهای افرادی که نمیشناسید یا در نامههایی که مشکوک یا هرزنامه هستند، باز نکنید.
مؤلفه واقعی بدافزار «اف بی آی» باج افزار است.
از طریق مقدار رجیستری زیر، خود را به عنوان یک برنامه اجرا خودکار نصب می کند:
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun] "GoogleChrome"="C:DOCUME~1UserLOCALS~1TempRarSFX0input.exe"
با غیرفعال کردن "Safe Mode" و "Safe Mode with Networking" با حذف کلیدهای رجیستری زیر از خود در برابر حذف محافظت می کند:
HKEY_LOCAL_MACHINESYSTEMCcurrentControlSetControlSafeBootMinimal* HKEY_LOCAL_MACHINESYSTEMCcurrentControlSetControlSafeBootNetwork*
سپس ورودی کاربر را مسدود می کند و یک صفحه قفل جعلی را نمایش می دهد که سعی می کند از قربانی پول اخاذی کند. صفحه نمایش به قربانی اطلاع میدهد که کامپیوتر آنها توسط FBI به دلیل سوء استفاده مشکوک قفل شده است و آنها باید ظرف 48 ساعت جریمه بپردازند تا قفل آن را باز کنند.
________________________________________________________________________________________________
منابع مرتبط:
امنیت ایمیل خود را تست کنید کارت امتیازی امنیتی فوری خود را به صورت رایگان دریافت کنید منبع: https://blog.comodo.com/malware/malware-detection-by-antivirus-scanners/