اخبار

باج افزار Snatch – استفاده از حالت Safe Mode جهت غیرفعال سازی آنتی ویروس

باج افزار اسنچ

باج افزار Snatch که به تازگی شیوع یافته است این توانایی را دارد تا بتواند سیستم را در حالت Safe Mode ریستارت کند و سپس در این حالت آنتی ویروس را غیرفعال کند و سپس شروع به کد کردن اطلاعات کند.

سایبرلند

بر خلاف سایر باج افزارهایی که تابحال منتشر شده اند این باج افزار تلاش می کند تا سیستم را در حالت Safe Mode ریستارت کند. حالت Safe Mode همانطور که می دانید با حداقل سرویس ها و درایورها و همچنین نرم افزارها جهت عیب یابی سیستم استفاده می شود. این موضوع آنتی ویروس ها را نیز در بر می گیرد. معمولا آنتی ویروس ها در حالت Safe Mode یا اجرا نمی شوند، یا ساده تر از حالت عادی قابل حذف کردن هستند.

این باج افزار از تابستان ۲۰۱۸ فعال بوده است و کارشناسان امنیتی سوفوس طی چند حمله سایبری اخیر توانسته اند متوجه فعالیت این باج افزار در این حالت شوند.

شیوه عملکرد این باج افزار به این صورت است که ابتدا تحت عنوان یک سرویس به نام SuperBackupMan اجرا می شود و ویندوز را وادار به ریستارت و روشن شدن مجدد در حالت Safe Mode می کند. زمانی که کامپیوتر در حالت Safe Mode روشن می شود از کامپوننت vssadmin.exe استفاده  می کند تا تمام شادو کپی های درایوهای سیستم را پاک کند و از عملیات جرم یابی جلوگیری کند. پس از این مراحل بد افزار اقدام به کد کردن فایل های سیستم می کند.

اما آنچه که باج افزار اسنچ را متفاوت از بقیه می کند تنها این موضوع نیست بلکه در کنار باج افزار بودن اسنچ مجهز به یک ماژول پیشرفته سرقت اطلاعات نیز می باشد که تلاش می کند از سازمان های هدف گرفته شده اطلاعات مورد نظر را نیز سرقت کند.

همچنین به نظر می رسد که اسنچ با استفاده از زبان برنامه نویسی Go نوشته شده است که یک زبان برنامه نویسی مناسب برای توسعه نرم افزار در همه سیستم عامل ها می باشد. با اینحال به نظر می رسد که از این باج افزار تنها برای سیستم های ویندوزی استفاده شده است.

به جز این مسائل باج افزار Snatch یک پیشنهاد همکاری فوق العاده نیز برای سایر مجرمان سایبری در نظر گرفته است. مجرمان سایبری می توانند با سازندگان این باج افزار همکاری کنند و از طریق بات نت ها، بکدورها، کارمندان خبیث و… سازمان های بزرگ را هدف بگیرند.

همانطور که در تصویر زیر مربوط به یک انجمن زیر زمینی مشاهده میکند پیشنهاد همکاری به تمام افرادی که دسترسی های RDP، VNC، TeamViewer، WebShell و SQL Injection دارند داده شده است.

محققان می گویند این باج افزار همچنین از ابزارهای قانونی مانند Process Hacker، IObit Uninstaller، PowerTool و PsExec جهت از کار انداختن آنتی ویروس استفاده می کنند.

شرکت Coveware که در زمینه ریکاوری اطلاعات پس از حمله باج افزاری تخصص دارد طی مذاکراتی که بین قربانیان و هکرها انجام داده است در کمتر از ۴ ماه اخیر برای بیش از ۱۲ قربانی مجبور به مذاکره با هکرها شده است و تا کنون بین ۲ هزار تا ۳۵ هزار دلار به واحد بیت کوین به هکرها پرداخت کرده است.

بیشتر بخوانید:

سایبرلند

دیدگاهتان را بنویسید