Akira Ransomware
این باج افزار به آهستگی در حال ایجاد لیستی از قربانیان در سطح جهانی بوده، فایل های آنها را رمزنگاری کرده و درخواست مبلغ باج چند میلیون دلاری داشته است.
این باج افزار در همین ماه جاری اجرا شده و ادعا می کند تا کنون به 16 شرکت بزرگ در زمینه مختلف صنعتی، آموزشی، تولیدی و مالی و مشاوره حمله کرده است. علی رغم اینکه در سال 2017 نیز باج افزاری با این نام منتشر شده است، اما محققان بر این باورند که این دو ارتباطی با یکدیگر ندارند.
پس از اجرا، این باج افزار کپی های Windows Shadow Valume موجود روی دستگاه رو با استفاده از اجرا دستورات PowerShell حذف می کند و شروع به رمزنگاری فایلها می کند.
این باج افزارها فایل های موجود در Recycle Bin، System Volume Information، Boot، ProgramData و فولدرهای ویندوز را نیز رمزنگاری میکند اما فایل های سیستمی ویندوز با پسوندهای .exe, .lnk, .dll, .msi, and .sys را رمزنگاری نمی کند. پس از پایان رمزنگاری یک پسوند .akira به نام فایل ها اضافه می شود.
همچنین این باج افزار از API مدیریت ریستارت ویندوز برای بستن فرآیندها و یا خاموش کردن سرویس های ویندوزی که باز ماندن آنها مانعی برای رمزنگاری است استفاده می کند.
هر فولدری از کامپیوتر شامل یک فایل یادداشت با نام akira_readme.txt بوده که در آن لینکهای به سایت نشت داده های این باج افزار و سایت مذاکره وجود دارد. هر قربانی یک پسورد منحصر به فرد برای ورود به سایت مهاجم دارد. برخلاف بسیاری از باج افزارها این سایت تنها شامل سیستم چتی است که قربانی میتواند با مهاجم مذاکره کند!!!
مهاجمان قبل از رمزنگاری فایل ها، آنها را به سرقت برده تا بتوانند از این طریق به قربانی فشار آورده و در صورت عدم پرداخت باج، تهدید به انتشار عمومی فایلها می کنند. در حال حاضر این باج افزار اطلاعات 4 قربانی را در سایت خود منتشر کرده است .
Cactus Ransomware
باج افزار جدید دیگر، با نام Cactus از آسیب پذیری موجود در تجهیزات VPN بهره برداری می کند. این باج افزار فعالیت خود را در اوایل ماه مارچ آغاز نموده و درخواست پرداخت باج بالایی دارد.
در حالیکه این باج افزار نیز مانند همه باج افزارهای دیگر از تکنیک سرقت اطلاعات و رمزنگاری استفاده می کند، اما برای عدم شناسایی توسط راهکارهای امنیتی نیز ویژگی خاصی به خود اضافه نموده است.
به گفته محققان این باج افزار دسترسی به شبکه داخلی قربانی را از طریق یک آسیب پذیری شناس در تجهیزات VPN فورتی نت به دست می آورد.
چیزی که این باج افزار را از سایر باج افزارها متمایز می کند این است که برای حفاظت از خود از رمزنگاری استفاده می کند. در واقع مهاجم از یک scriptبرای رمزنگاری باینری با استفاده از 7-Zip، بهره می برند.
هنوز جزییات زیادی از حملات این باج افزار و قربانیان آن منتشر نشده است. آنچه که مشخص است این است که مهاجمان از آسیب پذیری موجود در تجهیزات VPN فورتی نت استفاده می کنند و هدفشان مثل سایر باج افزارها سرقت اطلاعات قبل از رمزنگاری آنهاست.
بهترین راه برای حفاظت در برابر چنین باج افزارهایی این است که در کنار استفاده از راهکارهای امنیتی معتبر، نرم افزارهای خود را به روز نگه داشته و از ابزار نظارت بر شبکه و پاسخگویی سریعتر به حوادث استفاده نمایید.
منبع: https://www.bleepingcomputer.com
