شناسایی باجافزار پیچیده بدون رمزگذاری فایلها
باجافزارها برای اخاذی از کاربران، از رمزگذاری فایلها استفاده میکنند، اما باجافزار جدیدی شناسایی شده که فایلها را رمزگذاری نمیکند، در عوض با نمایش یک صفحه هشدار، دسترسی به دستگاهها را مسدود میکند.
به گزارش ایسنا، حملات باجافزاری (ransomware) این روزها رایج شده است و هیچ شرکتی نیز از این حملات مصون نیست. باجافزار نرمافزاری مخرب است که سیستم قربانیان را برای اخاذی پول از آنها قفلگذاری میکند. این حملات پروندههای شما را رمزگذاری میکند و دادههای گرانبهای شمارا برای اخذ باج، نگه میدارند. این کار با وسوسه کردن کاربران در دانلود یک پیوست یا باز کردن یک لینک انجام میشود و با دانلود پیوست، بدافزار در دستگاه میشود.
این در حالی است که مرکز مدیریت راهبردی افتای ریاست جمهوری، بدافزار جدید پیچیدهای در اندروید شناسایی کرده است که فایلها را رمزگذاری نمیکند، در عوض با نمایش یک صفحه هشدار، دسترسی به دستگاهها را مسدود میکند. این باج افزار از مجوز ویژه "SYSTEM_ALERT_WINDOW" برای نمایش نوت باج در بالای برنامه دیگر استفاده میکند و با کلیک روی هر دکمهای میتوان آن را رد کرد. این اجازه برای اطلاعرسانی هشدارها یا خطاهای سیستم کاربر است، اما این تهدید در اندروید برای دسترسی به صفحه نمایش و سوءاستفاده از آن است.
در نسخه جدید باجافزار اندروید، از اعلان "تماس" اندروید برای جلب توجه فوری کاربر استفاده میشود و هر زمان صفحه بدافزار به پسزمینه رانده میشود، از قابلیت (onUserLeaveHint) استفاده میکند و باعث میشود فعالیت in-call به طور خودکار به پیشزمینه برود. پایگاه اینترنتی جیبیهکرز (gbhacker) نوشت: این باجافزار آخرین نوع از یک خانواده بدافزار است که چندین مرحله از تکامل را پشت سر گذاشته است. انتظار میرود که نسخههای جدید با تکنیکهای پیچیده تر را از بین ببرد.
کارشناسان معاونت بررسی مرکز افتا میگویند این باجافزار دارای تکنیکها و رفتارهای جدید حملهای است که از تکامل باجافزار موبایل حکایت میکند و رفتارهایی را نشان میدهد که قبلا مشاهده نشدهاند و میتوانند درهای دیگری را برای دنبال کردن بدافزارها، باز کنند. بدافزار سردرگمی شدیدی ایجاد میکند زیرا هیچ کدی مربوط به سرویسهای اعلامشده در فایل مانیفست ندارد. طبق تحلیل مایکروسافت، این کد به شدت مبهم و غیرقابل خواندن است و از شیوه رمزگشایی جالبی استفاده میکند، در این عملکرد رمزگشایی با value رمزگشایی مطابقت ندارد، آنها با کد ناخواسته مطابقت دارند تا مانع تجزیه و تحلیل شوند.
انتهای پیام