در توسینسو تدریس کنید

و

با دانش خود درآمد کسب کنید

معرفی جاسوس افزاری که باج افزار شد!(Killdisk)

معرفی جاسوس افزاری که باج افزار شد!(Killdisk)

معرفی بدافزار Killdisk


بدافزارها، برنامه‌های رایانه‌ای مخربی هستند که به دلیل رفتار خرابکارانه ای که از خود نشان می دهند و موجب اذیت و آزار کاربران می شوند، به این اسم، نامیده شده اند.

طبق آخرین آماری که شرکت امنیتی سیمانتک جمع آوری کرده، تعداد بدافزرها تولید شده در سالهای اخیر به مراتب از تعداد نرم افزارهای سالم بیشتر است. بدافزارها در انواع و اقسام آن و در کاربردهای مختلف تهیه و منتشر می شوند و متاسفانه درگاه نشر و توسعه بدافزارها، فضای پرکاربرد اینترنت بوده. دانلود نرم افزارهای رایگان از سایت های نامعتبر، باز کردن پیوست های ایمیل ناشناس از مهمترین دلایل ورود بدافزارها از دریچه اینترنت به سیستم ها و شبکه های کامپیوتری بوده.از انواع بدافزارهای رایانه ای می توان به ویروس‌ها، کرم‌ها، اسب‌های تروآ، جاسوس‌افزارها، آگهی‌افزارها، روت‌کیت‌ها و هرزنامه‌ها اشاره کرد. (انواع دسته بندی ها بدافزارها)

توجه : جهت کسب اطلاعات بیشتر پیرامون بدافزارها، به مقاله ای که در این حوزه توسط مهندس نصیری تهیه شده، مراجعه کنید.

معرفی جاسوس افزاری که باج افزار شد!(Killdisk)

در ادامه با بدافزاری آشنا خواهیم شد که با تغییر کاربری خود و یا اضافه کردن کاربری جدید، دامنه فعالیت خودشو گسترش داده. نام این جاسوس افزار ، killdisk نام دارد. killdisk جاسوس افزاری بوده که بعد از ورود به سیستم قربانی، اقدام به حذف فایلهای سیستمی و اصلی سیستم عامل کرده و منجر به از کارافتادن سیستم عامل می شده.حوزه فعالیت این باج افزار، بیشتر در سیستم های صنعتی و خرابکاری در این حوزه بوده. این جاسوس افزار در طی اقدامی جدید و با توجه به گسترش فعالیت و کار و کاسبیه باج افزارها، امکان باج افزاری شدن رو هم به بدافزار خود اضافه کرده تا از این طریق هم وارد تجارت پر سود و کثیف باجگیری شده باشه. توسعه دهنه گان این بدافزار با نام قدیمی Sandworm و نام جدید TeleBots شناخته می شوند. در حال حاضر گروه مهاجمان زیرزمینی در فضای اینترنت سیاه به نام BlackEnergy با استفاده از این بدافزار، اقدام به خرابکاری در بخش انرژی، معدن، رسانه و همچنین بانکی کشور اوکراین کرده. در مورد اخیر که در سیستم کارکنان بانکی اتفاق افتاده، نفوذ بدافزار از طریق بخش ماکروهای نرم افزار آفیس که از طریق پیوست ایمیل های ناشناس Office که به ایمیل هرزنامه پیوست شده بودند وارد سیستم ها شده، که بعد از کشف کلمه عبور سیستم ها ، اقدام به حذف و رونویسی فایل‌های حساس سیستمی، سیستم عامل کرده . عمل رونویسی در این بدافزار با رشته های 256 بایتی حاوی "mrR0b07" یا "fS0cie7y" انجام گرفته. در نسخه باج افزاری این بدافزار فرمان sc از تابع WinExec برای ایجاد سرویسی از جانب نرم افزار ایجاد شده و در نهایت با استفاده از تابع wevtutil از ویندوز، سوابق و ردپای خود را از سیستم مربوطه حذف می کند.

wevtutil clear log application
wevtutil clear log security
wevtutil clear log setup
wevtutil clear log system

معرفی جاسوس افزاری که باج افزار شد!(Killdisk)

این بدافزار اقدام به رمزگذاری انواع مختلفی از فایلها با پسوندهای زیر کرده.رمز گذاری این فایلها طبق متد AES انجام شده که البته کلید AES آن با روش RSA 1028 رمزگذاری می شود.

.pdb .vbm .vbk .dat .crt .key .kdbx .bak .back .dr .bkf .cfg .fdb .mdb .accdb .gdb .wdb .csv .sdf .myd .dbf .sql .edb .mdf .ib .db3 .db4 .accdc .mdbx .sl3 .sqlite3 .nsn .dbc .dbx .sdb .ibz .sqlite .ova .vmdk .vhd .vmem .vdi .vhdx .vmx .ovf .vmc .vmfx .vmxf .hdd .vbox .vcb .vm sd .vfd .pvi .hdd .bin .avhd .vsv  .iso .nrg .disk .hdd .pmf .vmdk .xvd .dev .pem .jrs .cer .pvk .pfx .pd .pio .csr .crl .p7c .piz .p7b .spc .p7r .io .pyc .dwg .max .dxf .3ds .ai .conf .my .ost .pst .mkv .mp3 .wav .oda .sh .py .ps .ps1 .php .aspx .asp .rb .js .git .mdf .pdf .djvu .doc .docx .xls .xlsx .jar .ppt .pptx .rtf .vsd .vsdx .jpeg .jpg .png . tiff .msi .zip .rar  .7z .tar .gz .eml .mail .ml

پسوند فایل ها پس از رمزنگاری تغییر نمیکند و تنها به انتهای فایل های رمز شده 152 بایت الصاق می شود که128 بایتابتدایی آن مربوط به کلید و 24 بایت دیگر آن حاوی پیام

DoN0t0uch7h!$CrYpteDfilE است.

روشی که این بدافزار برای متوقف کردن ابزارهای تحلیلگر امنیتی و نرم افزارهای امنیتی استفاده می کند به روش WHITE LIST مشهور است . بدین ترتیب که بدافزار مربوطه، لیستی از پروسه های متداول کامپیوتری را در اختیار دارد(PID پروسه ها) و با قرار دادن پروسه خود در این فهرست، برنامه خود را متعارف نشان داده و سپس بعد از نفوذ به سیستم قربانی، هر پروسه ای که غیر از پروسه های موجود در WHITE LIST آن باشد را حذف کرده. پروسه هایی که این بدافزار در فهرست خود بعنوان لیست سفید نگهداری می کند عبارتند از:

smss.exe,   csrss.exe,   wininit.exe,   services.exe,   lsas s.exe,   lsm.exe,   svchost.exe, winlogon.exe,  explorer.exe,  dwm.exe,  wuauclt.exe,spoolss.exe,  spoolsv.exe,  taskhost.exe, conhost.exe, shutdown.exe, avp.exe, avpui.exe, ekrn.exe, egui.exe, mfemmc.exe, mfefire.exe, mfevtps.exe, pefservice.exe, mcsvhost.exe, msa
scui.exe, msmpeng.exe, mpcmdrun.exe

که البته نام پروسه mfemmc.exe که مربوط به مک آفی می باشد جهت رد گم کنی در این لیست قرار گرفته است.

معرفی جاسوس افزاری که باج افزار شد!(Killdisk)

دو تابع SetWindowPos و SetForegroundWindow مسئولیت نمایش پیغامهای باج گیری را برای کاربر دارد. در این پیغام با اعلام آدرس ایمیل lelantos.org با کاربر تعامل کرده و مراحل بعدی را برای رمزگشایی و پرداخت باج اعلام می کند. مبلغ باج درخواستی توسط این باج افزار برابر 200 هزار دلار بوده.

نکته : نسخه جدید این بدافزار بر روی سیستم عامل لینوکس هم قابلیت فعال شدن و خرابکاری دارد.

ابهترین روش مواجه نشدن با اینگونه بدافزاره و باج افزارها، روشهای پیشگیرانه مانند موارد زیر می باشد:

  • اطلاع رسانی به کاربران اینترنت جهت باز نکردن فایل‌های ضمیمه ای که ارسال کننده آن را نمی شناسید
  • تهیه نسخه پشتیبان کامل از تمام داده ها و اطلاعات حساس و حصول اطمینان از امنیت انتقال اطلاعات بارگذاری شده از اینترنت بر شبکه داخلی است.( ادامه روشها در مقاله تنها و تنها راه مقابله با باج افزارها )

منبع : KillDisk now targeting Linux: Demands $250K ransom, but can’t decrypt

منبع : KillDisk Ransomware Now Targets Linux, Prevents Boot-Up, Has Faulty Encryption

منبع : شرکت مهندسی شبکه گستر

نویسنده : علیرضا(ARAF)

منبع: ITPRO

هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی می باشد

#نحوه_عملکرد_باج_افزار_killdisk #معرفی_باج_افزار #بدافزار_killdisk #معرفی_باج_افزار_killdisk #گسترش_کاربری_جاسوس_افزار_killdisk #جلوگیری_از_ورود_باج_افزار_ها #باج_افزار_killdisk
عنوان
1 باج افزار چیست و چه تهدیدات و راهکارهای پیشگیری دارد ؟ رایگان
2 باج افزار FenixLocker چیست ؟ رایگان
3 باج افزار HDDCryptor Ransomware چیست ؟ رایگان
4 باج افزار Locky چیست؟ رایگان
5 باج افزار ایرانی CLICK ME چیست ؟ رایگان
6 باج افزار Cyber SpLiTTer Vbs چیست ؟ رایگان
7 باج افزار UnblockUPC چیست؟ رایگان
8 باج افزار MarsJoke چیست ؟ رایگان
9 باج افزار Nagini چیست ؟ رایگان
10 10 واقعیت تکان دهنده در مورد باج افزارها رایگان
11 راهکارهای مقابله با باج افزار (Ransomeware) چه هستند؟ رایگان
12 باج افزار DXXD چیست؟ رایگان
13 باج افزار Princess Locker چیست ؟ رایگان
14 تشخیص ایمیل های حاوی باج افزار چگونه است ؟ نمونه ای از ایمیل ها رایگان
15 باج افزار AL-Namrood چیست؟ رایگان
16 باج افزار TeamXrat چیست؟ رایگان
17 باج افزار Nuke چیست؟ رایگان
18 باج افزار Globe چیست؟ رایگان
19 سازنده باج افزار Wildfire Locker دستگیر شد رایگان
20 باج افزار حق انتخاب : دیگران را آلوده می کنی یا باج می دهی ؟ رایگان
21 آماری از ناامنی های سایبری در سالی که گذشت (2016) رایگان
22 معرفی تروجان بانکی Zeus رایگان
23 باج افزار نویسانی که با قربانیان خود مودبانه تعامل می کنند! رایگان
24 معرفی باج افزارای که خود را اجاره می دهد! رایگان
25 معرفی جاسوس افزاری که باج افزار شد!(Killdisk) رایگان
26 هجوم Ransomware ها از طریق پروتکل RDP رایگان
27 افشای کلید رمز باج افزار Spora و تهیه ابزاری توسط ESET رایگان
28 مراحلی که باج افزار برای آلوده کردن سیستم قربانی دنبال می کند رایگان
29 شیوع باج افزارها بعنوان یک خدمت یا سرویس به متقاضیان!!! رایگان
30 توزیع گسترده باج افزار wannacrypt رایگان
31 چند نوع باج افزار بصورت کلی وجود دارد؟ رایگان
32 باج افزاری که باج خود را از کارت اعتباری طلب می کند نه بیت کوین رایگان
33 باج افزارها با رفتارهای عجیب و غریب(شماره یک) !!! رایگان
34 باج افزارها با رفتارهای عجیب و غریب(شماره دو) !!! رایگان
35 باج افزار Scarabey رایگان
36 باج افزاری از نوع ماینر رایگان
37 نکاتی پیرامون باج‌افزار Annabelle رایگان
38 خلاصی از شر باج‌افزار GandCrab با ابزار Bitdefender رایگان
39 باج‌افزار GandCrab و سوء استفاده از آسیب پذیری IE و فلش رایگان
40 باج افزاری که به کمک آورگان سوری می آید!!! رایگان
زمان و قیمت کل 0″ 0
2 نظر
mahdi tehranian

عالی بود

ترجیحا شب ها مطالبتونو مورد مطالعه قرار میدم

ولذت میبرم اطلاعاتم توسطه مقالات پربارتون بالا میره

خدا خیرتون بده

علیرضا

سلام، موفق باشید، خوشحالم از اینکه مطالب مورد پسندتون قرار گرفته و مفید واقع شده است. همچنین آرزوی سالی پر از سلامتی، آگاهی و برکت برای شما می کنم".

نظر شما
برای ارسال نظر باید وارد شوید.
از سرتاسر توسینسو
تنظیمات حریم خصوصی
تائید صرفنظر
×

تو می تونی بهترین نتیجه رو تضمینی با بهترین های ایران بدست بیاری ، پس مقایسه کن و بعد خرید کن : فقط توی جشنواره پاییزه می تونی امروز ارزونتر از فردا خرید کنی ....