شناسایی باج افزار وحشی HDDCryptor
ارسال شده: یکشنبه سپتامبر 18, 2016 3:02 pm
http://disna.ir/post/5839
[IMG]http://blog.trendmicro.com/trendlabs-se ... yptor1.jpg[/IMG]
محققین کمپانی امنیتی ترندمیکرو باج افزار جدیدی با نام HDDCryptor ( Ransom_HDDCRYPTOR.A ) شناسایی کردند که بر خلاف دیگر باج افزارها که به تعداد خاصی از فایلها حمله و آنها را رمزگذاری میکنند ، نه تنها به همه درایورها و فایلها و پورتها و دیوایسهای روی شبکه و متصل به سیستم حمله میکند ، بلکه سعی میکند تا کل درایوهای سیستم قربانی را قفل کند و همین باعث شده نه فقط برای کاربران خانگی ، بلکه برای شرکتها و سازمانها و شبکه های اینترپرایز نیز بسیار خطرناک باشد .
آنتی ویروسهای شرکت ترندمیکرو این باج افزار را با نام Ransom_HDDCRYPTOR.A شناسایی میکنند .
شرح عملکرد باج افزار HDDCryptor
HDDCryptor can infect systems as an executable unsuspectingly downloaded from malicious websites, or as a file dropped by other malware. The ransomware is installed by dropping several components—both legitimate and malicious—to the system’s root folder:
dcapi.dll (detected as Ransom_HDDCRYPTOR.A)
dccon.exe (used to encrypt the disk drive)
dcrypt.exe
dcrypt.sys
log_file.txt (log of the malware’s activities)
Mount.exe (scans mapped drives and encrypts files stored on them)
netpass.exe (used to scan for previously accessed network folders)
netuse.txt (used to store information about mapped network drives)
netpass.txt (used to store user passwords)
For persistence, it adds a service named DefragmentService and executes it via command line.
بعد از این مرحله ، باج افزارHDDCryptor به سراغ درایوهای شبکه می رود و به آنها حمله میکند .
ولی شیوه رمزگذاری باج افزار HDDCryptor به طور خلاصه به شرح زیر است :
HDDCryptor uses disk and network file-level encryption via DiskCryptor, an open source disk encryption software that supports AES, Twofish and Serpent encryption algorithms, including their combinations, in XTS mode. It also uses DiskCryptor to overwrite the Master Boot Record (MBR) and adds a modified bootloader to display its ransom note, instead of the machine’s normal log-in screen.
جالب است بدانید باج افزار DiskCryptor به صورت سرویس RAAS در دسترس خریدارن است تا با آن کسب درآمد کنند .
راهکارهای ترندمیکرو برای شناسایی و مقابله با باج افزار HDDCryptor
شرکت امنیتی ترندمیکرو در همه محصولاتش به روشها و لایه های مختلف این باج افزار را شناسایی و با آن مقابله میکند .
http://disna.ir/post/5839
[IMG]http://blog.trendmicro.com/trendlabs-se ... yptor1.jpg[/IMG]
محققین کمپانی امنیتی ترندمیکرو باج افزار جدیدی با نام HDDCryptor ( Ransom_HDDCRYPTOR.A ) شناسایی کردند که بر خلاف دیگر باج افزارها که به تعداد خاصی از فایلها حمله و آنها را رمزگذاری میکنند ، نه تنها به همه درایورها و فایلها و پورتها و دیوایسهای روی شبکه و متصل به سیستم حمله میکند ، بلکه سعی میکند تا کل درایوهای سیستم قربانی را قفل کند و همین باعث شده نه فقط برای کاربران خانگی ، بلکه برای شرکتها و سازمانها و شبکه های اینترپرایز نیز بسیار خطرناک باشد .
آنتی ویروسهای شرکت ترندمیکرو این باج افزار را با نام Ransom_HDDCRYPTOR.A شناسایی میکنند .
شرح عملکرد باج افزار HDDCryptor
HDDCryptor can infect systems as an executable unsuspectingly downloaded from malicious websites, or as a file dropped by other malware. The ransomware is installed by dropping several components—both legitimate and malicious—to the system’s root folder:
dcapi.dll (detected as Ransom_HDDCRYPTOR.A)
dccon.exe (used to encrypt the disk drive)
dcrypt.exe
dcrypt.sys
log_file.txt (log of the malware’s activities)
Mount.exe (scans mapped drives and encrypts files stored on them)
netpass.exe (used to scan for previously accessed network folders)
netuse.txt (used to store information about mapped network drives)
netpass.txt (used to store user passwords)
For persistence, it adds a service named DefragmentService and executes it via command line.
بعد از این مرحله ، باج افزارHDDCryptor به سراغ درایوهای شبکه می رود و به آنها حمله میکند .
ولی شیوه رمزگذاری باج افزار HDDCryptor به طور خلاصه به شرح زیر است :
HDDCryptor uses disk and network file-level encryption via DiskCryptor, an open source disk encryption software that supports AES, Twofish and Serpent encryption algorithms, including their combinations, in XTS mode. It also uses DiskCryptor to overwrite the Master Boot Record (MBR) and adds a modified bootloader to display its ransom note, instead of the machine’s normal log-in screen.
جالب است بدانید باج افزار DiskCryptor به صورت سرویس RAAS در دسترس خریدارن است تا با آن کسب درآمد کنند .
راهکارهای ترندمیکرو برای شناسایی و مقابله با باج افزار HDDCryptor
شرکت امنیتی ترندمیکرو در همه محصولاتش به روشها و لایه های مختلف این باج افزار را شناسایی و با آن مقابله میکند .
http://disna.ir/post/5839