کشف بدافزاری که داده‌ها را حذف می‌کند

باج‌افزار,بدافزار,داده‌ها,حذف,غیرفعال‌سازی

باج‌افزاری در حال گسترش است که به قربانیان ۱۰ دقیقه فرصت می‌دهد تا کد غیرفعال‌سازی باج افزار را وارد کنند، در غیر این صورت تمامی اطلاعات هارددیسک را پاک می‌کند.

براساس اظهارات تیم امنیتی که این بدافزار را شناسایی کرده‌اند، بدافزار هنگام اجرا سرود شوروی را اجرا کرده و فایل صوتی آن با فرمت Mp۳ در آدرس %UserProfile%\AppData\Local  ذخیره می‌شود.
بدافزار فایل اجرایی خود به نام Stalin.exe را نیز در همان مسیر کپی خواهد کرد. بعد انجام این مراحل فایل Autorun با نام Stalin ایجاد کرده که در زمان اجرا صفحه نمایش را قفل نموده و فرآیند حذف اطلاعات را آغاز می‌کند.

همچنین این بدافزار در آدرس %UserProfile%\AppData\Local\fl.dat فایلی را ایجاد می‌کند. این فایل در هر بار ری استارت شدن سیستم، برای شمارنده کاهشی بدافزار مورد استفاده قرار می‌گیرد.

این بدافزار سعی می‌کند به Taskmgr.exe و explorer.exe دسترسی پیدا کند اما با برنامه‌های Skype و Discord کاری ندارد. همچنین این بدافزار با ایجاد یک رویه زمان‌بندی شده به نام “Dirve Update” فایل Stalin.exe را اجرا می‌کند.

زمانی که بدافزار صفحه نمایش را قفل کرده و تایمر ۱۰ دقیقه‌ای را نمایش می‌دهد، از قربانی می‌خواهد که یک کد را وارد کند. این کد از تفریق تاریخ روز با تاریخ ۱۹۲۲/۱۲/۳۰ بدست می‌آید. اگر کد صحیح وارد شود بدافزار خارج شده و فایل autorun را حذف می‌کند. اگر قربانی نتواند در مدت زمان تعیین شده کد را وارد کند، بدافزار تمامی فایل‌ها در تمامی درایوهای متصل به کامپیوتر را حذف خواهد کرد.

تیم شناسایی کننده این بدافزار در یک مصاحبه گفته است که این بدافزار هیچ تقاضای مالی، راه ارتباطی و هیچ چیز نمی‌خواهد. همچنین اضافه کردند که این بدافزار از انواع شناخته شده نیست و اولین بار در روزهای گذشته مشاهده شده است. به گفته آن‌ها اگر کاربری آلوده شود بهترین کار خاموش کردن کامپیوتر و کمک گرفتن از کسی است که بتواند سیستم کامپیوتر را پاکسازی کند.

مارک جیمز، متخصص امنیتی عنوان کرده که این نوع از بدافزارهای پاک کننده ظاهرا طبیعتی مخرب داشته و هدفی جز نابودی داده‌ها و بدست آوردن توجه رسانه‌ها را ندارند. متوسط کاربران نه توانایی داشته و نه تمایلی به پیدا کردن کد صحیح دارند. بنابراین پاک شدن فایل‌ها معمولا انجام می‌شود. تنها اقدام مفید آنان فراهم کردن یک نرم‌افزار امنیتی چند لایه است که بتواند بدافزار را شناسایی و حذف کند.

همانطور که گفته شد تمایل این بدافزار به گسترش و انتشار بیش از پاک نمودن فایل‌های شخصی است. جیمز هادلی – مدیر عامل و موسس یک آزمایشگاه امنیتی – هم عنوان کرد: با وجود بدافزارهایی مانند StalinLocker و StalinScreamer که هر روز سریع‌تر می‌شوند، بسیار اهمیت دارد، تحلیگران امنیتی به یک محیط امن و مطمئن دسترسی داشته که در آن بتوانند شخصا و از نزدیک تهدیدات و خصوصیات آن‌ها را بررسی کنند. به این منظور که بهترین راه‌ها را برای امنیت سیستم‌ها بیابند.

به گفته وی انجام این کار به معنای تفاوت بین هم‌طراز بودن علمی با مهاجمین یا عقب افتادن از آن‌هاست. بر اساس اطلاعات سایت پلیس فتا، کارشناسان امنیتی می‌گویند در سال گذشته بدافزاری سیستم‌ها را قفل کرده و کاربران را مجبور می‌کرد برای آزاد شدن سیستم‌شان در یک بازی امتیاز بالایی کسب کنند.

با وجود اینکه این نوع از حملات برای کسب منفعت نبوده اما بدون پیامد هم نیست. بنابراین سازمان‌ها باید این تهدیدات را جدی گرفته و با سرمایه‌گذاری در زمینه‌های امنیتی که قادر به شناسایی این تهدیدات است، پارامترهای مناسب را اتخاذ کنند.

منبع: ساعت۲۴
تاریخ: ۹۷/۳/۳