#امنیت ؛ در این مقاله به معرفی و بررسی بدافزار جدید شیمون ۲ می پردازیم همچنین به ارائه توضیحاتی در مورد ۲ ماژول بدافزاری موجود در این بدافزار جدید می پردازیم . با ما همراه باشید :
محققان امنیتی آزمایشگاه کسپرسکی روز دوشنبه اعلام کردند، بدافزار شیمون ۲.۰ دارای یک ماژول باجافزاری کامل است و میتواند پروندههای موجود بر روی ماشین آلوده را رمزنگاری کند. این شرکت امنیتی گزارشی فنّی از بدافزار شیمون ۲.۰ و قطعهی بدافزاری جدید با نام StoneDrill را منتشر کرده است. کسپرسکی مدعی است این بدافزار جدید با گروه نفوذ ایرانی با نام Charming Kitten نیز مرتبط است.
ویژگی جالب توجهی که در بدافزار شیمون ۲.۰ کشف شده این است که علاوه بر اینکه میتواند بر روی سامانهی هدف تمام پروندههای هارد دیسک را حذف کند، دارای یک ماژول باجافزاری کامل نیز هست. محققان امنیتی میگویند این ماژول باجافزاری در حال حاضر غیرفعال است ولی ممکن است در آینده و در حملات بعدی شیمون مورد استفاده قرار بگیرد.
زمانی که بدافزار شیمون، ماشینی را آلوده میکند، ابتدا زمان سامانه را مورد بررسی قرار میدهد تا بفهمد کی باید بار دادهی خود را نصب کند. پس از نصبِ بار داده، میتواند کل هارد دیسک را حذف کرده یا رمزنگاری کند. کسپرسکی در گزارش خود میگوید: «در حالت باجافزار/رمزنگاری، یک کلید RC۴ ضعیف و شبهتصادفی تولید میشود که در ادامه مستقیماً با کلید عمومی RSA رمزنگاری شده و در هارد دیسک ذخیره میشود. آفست این کلید در هارد دیسک ۰x۲۰۱ است و دقیقاً بعد از رکورد بوت اصلی قرار دارد.»
ماژول باجافزاری میتواند برای رمزنگاریِ مؤلفههای بدافزار شیمون و پروندههای ذخیرهشده در پوشههای ویندوز مورد استفاده قرار بگیرد. بدافزار شیمون اولین بدافزار حذفکنندهی دیسک نیست که نویسندگان قابلیت باجافزاری به آن اضافه کردهاند. اواخر سال گذشته شاهد بودیم بدافزار KillDisk که در حملاتی علیه بخشهای انرژی کشور اوکراین مورد استفاده قرار گرفته بود، تصمیم گرفت بهجای حذف پروندهها، آنها را رمزنگاری کرده و از قربانیان باج درخواست کند.
تحقیقات کسپرسکی نشان میدهد منابعی که توسط بدافزار شیمون مورد استفاده قرار گرفته دارای شناسهی زبان عربی یمنی هستند. شاید این نشانهای باشد مبنی بر اینکه نویسندگان بدافزار شیمون یمنی هستند و عربستان سعودی را هدف قرار دادهاند ولی این احتمال نیز وجود دارد که این یک نشانهی گمراهکننده باشد. محققان امنیتی قبلاً این بدافزار را به کشور ایران نسبت داده بودند.
مقالات مرتبط :
کشف یک کمپین بدافزاری !
آسیب پذیری در یکی از افزونه های معروف وردپرس
admin
با سلام .
عباس کربلایی هستم . مدیر سایت پویا سیستم .
من و تمام مجموعه پویا سیستم خوشحال می شویم که به شما در زمینه مشکلات نرم افزاری که دارید . کمک کنیم .
پس با ما در ارتباط باشید .
