.

باج‌افزار Snatch با راه‌اندازی Safe Mode آنتی‌ویروس‌ها را دور می‌زند

1398/10/15 يكشنبه
برای جلوگیری از حملات باج‌افزار، به سازمان‌ها توصیه می‌شود که سرویس‌های حیاتی و درگاه‌های ایمن خود را در معرض اینترنت عمومی قرار ندهند و در صورت لزوم آن‌ها را با استفاده از رمز عبور قوی با احراز هویت چندمرحله‌ای ایمن کنند. همچنین وجود یک فایروال قدرتمند می تواند جلوی حملات این بدافزار را بگیرد.

محققان امنیت سایبری نوع جدیدی از باج افزار Snatch را مشاهده کرده‌اند که ابتدا رایانه‌های دارای ویندوز و آلوده‌شده را راه‌اندازی مجدد کرده و در حالت Safe mode فایل‌های قربانیان را رمزگذاری می‌کند تا از شناسایی شدن توسط آنتی‌ویروس جلوگیری کند. برخلاف بدافزارهای سنتی، باج‌افزار جدید Snatch انتخاب می‌کند که در حالت Safe Mode اجرا شود زیرا در حالت تشخیصی، سیستم‌عامل ویندوز با حداقل مجموعه‌ای از درایورها و سرویس‌ها بدون بارگذاری بیشتر برنامه‌های startup شخص ثالث ازجمله نرم‌افزار آنتی‌ویروس آغاز به کار می‌کند.
محققان SophosLabs در حال تحقیق در مورد یک سری از حملات باج‌افزاری بودند که در آن باج افزار موردنظر دستگاه دارای ویندوز را مجبور به راه‌اندازی مجدد در حالتSafe Mode  و قبل از شروع فرآیند رمزگذاری می‌کند. این باج‌افزار که خود را Snatch نامیده است، خود را به‌عنوان خدماتی موسوم به SuperBackupMan با کمک رجیستری ویندوز تنظیم می‌کند که در طی یک بوت Safe Mode اجرا خواهد شد.
وقتی رایانه بعد از راه‌اندازی مجدد دوباره راه‌اندازی شد، این بار در حالت Safe Mode، این بدافزار از یک جزء ویندوز به نام net.exe برای متوقف کردن سرویس SuperBackupMan استفاده می‌کند و سپس با استفاده از جزء ویندوز vssadmin.exe همه Volume Shadow Copy ها را حذف می‌کند که از بازیابی فایل‌های رمزگذاری شده توسط این باج‌گیر افزار جلوگیری کند.
آنچه Snatch را از دیگر باج‌گیر افزارها متفاوت و خطرناک می‌کند این است که علاوه بر یک باج‌افزار، یک ابزار سرقت داده‌ها نیز هست. Snatch شامل یک ماژول پیشرفته سرقت داده‌ها است و به مهاجمان این امکان را می‌دهد که مقدار زیادی از اطلاعات سازمان‌های مورد هدف را بدزدند. اگرچه Snatch در Go نوشته ‌شده است که یک زبان برنامه‌نویسی است که برای توسعه برنامه‌های cross-platform شناخته‌شده است، نویسندگان این باج‌گیر افزار را فقط برای اجرا روی پلت فرم ویندوز طراحی کرده‌اند.
این بدافزار کاربران سامانه عامل ویندوز را هدف قرار می دهد تا در نتیجه بتواند از آن ها باج گیری کند. 
برای جلوگیری از حملات باج‌افزار، به سازمان‌ها توصیه می‌شود که سرویس‌های حیاتی و درگاه‌های ایمن خود را در معرض اینترنت عمومی قرار ندهند و در صورت لزوم آن‌ها را با استفاده از رمز عبور قوی با احراز هویت چندمرحله‌ای ایمن کنند. همچنین وجود یک فایروال قدرتمند می تواند جلوی حملات این بدافزار را بگیرد.

منبع :

https://thehackernews.com/2019/12/snatch-ransomware-safe-mode.html

بيشتر
نسخه قابل چاپ
درگاه ها و پورتال ها ی معتبر
.
آخرین رویدادها