#امنیت ؛ در این مقاله به معرفی و بررسی بدافزار جدید شیمون ۲ می پردازیم همچنین به ارائه توضیحاتی در مورد ۲ ماژول بدافزاری موجود در این بدافزار جدید می پردازیم . با ما همراه باشید :

بدافزار

محققان امنیتی آزمایشگاه کسپرسکی روز دوشنبه اعلام کردند، بدافزار شیمون ۲.۰ دارای یک ماژول باج‌افزاری کامل است و می‌تواند پرونده‌های موجود بر روی ماشین آلوده را رمزنگاری کند. این شرکت امنیتی گزارشی فنّی از بدافزار شیمون ۲.۰ و قطعه‌ی بدافزاری جدید با نام StoneDrill را منتشر کرده است. کسپرسکی مدعی است این بدافزار جدید با گروه‌ نفوذ ایرانی با نام Charming Kitten نیز مرتبط است.

ویژگی جالب توجهی که در بدافزار شیمون ۲.۰ کشف شده این است که علاوه بر اینکه می‌تواند بر روی سامانه‌ی هدف تمام پرونده‌های هارد دیسک را حذف کند، دارای یک ماژول باج‌افزاری کامل نیز هست. محققان امنیتی می‌گویند این ماژول باج‌افزاری در حال حاضر غیرفعال است ولی ممکن است در آینده و در حملات بعدی شیمون مورد استفاده قرار بگیرد.

زمانی که بدافزار شیمون، ماشینی را آلوده می‌کند، ابتدا زمان سامانه را مورد بررسی قرار می‌دهد تا بفهمد کی باید بار داده‌ی خود را نصب کند. پس از نصبِ بار داده، می‌تواند کل هارد دیسک را حذف کرده یا رمزنگاری کند. کسپرسکی در گزارش خود می‌گوید: «در حالت باج‌افزار/رمزنگاری، یک کلید RC۴ ضعیف و شبه‌تصادفی تولید می‌شود که در ادامه مستقیماً با کلید عمومی RSA رمزنگاری شده و در هارد دیسک ذخیره می‌شود. آفست این کلید در هارد دیسک ۰x۲۰۱ است و دقیقاً بعد از رکورد بوت اصلی قرار دارد.»

ماژول باج‌افزاری می‌تواند برای رمزنگاریِ مؤلفه‌های بدافزار شیمون و پرونده‌های ذخیره‌شده در پوشه‌های ویندوز مورد استفاده قرار بگیرد. بدافزار شیمون اولین بدافزار حذف‌کننده‌ی دیسک نیست که نویسندگان قابلیت باج‌افزاری به آن اضافه کرده‌اند. اواخر سال گذشته شاهد بودیم بدافزار KillDisk که در حملاتی علیه بخش‌های انرژی کشور اوکراین مورد استفاده قرار گرفته بود، تصمیم گرفت به‌جای حذف پرونده‌ها، آن‌ها را رمزنگاری کرده و از قربانیان باج درخواست کند.

تحقیقات کسپرسکی نشان می‌دهد منابعی که توسط بدافزار شیمون مورد استفاده قرار گرفته دارای شناسه‌ی زبان عربی یمنی هستند. شاید این نشانه‌ای باشد مبنی بر اینکه نویسندگان بدافزار شیمون یمنی هستند و عربستان سعودی را هدف قرار داده‌اند ولی این احتمال نیز وجود دارد که این یک نشانه‌ی گمراه‌کننده باشد. محققان امنیتی قبلاً این بدافزار را به کشور ایران نسبت داده بودند.

مقالات مرتبط :

Related posts