معرفی ویروس باجگیر جدید Karma
محققان امنیتی slipstream/RoL باج افزار جدیدی را کشف کرده اند که توسط یک برنامه بهینه سازی ویندوز به نام Windows-TuneUp بر روی سیستم قربانی نصب شده، توسعه پیدا کرده و فعالیت مخرب خود را انجام می دهد.
این باج افزار که Karma Ransomware نام دارد از روش Pay-Pre-Install بهره برده و کسب درآمد می نماید.
روش نفوذ بدافزار کارما به سیستم کاربران
این برنامه که از طریق سایت های اینترنتی و تبلیغ های آن به کاربر پیشنهاد میشود و یا بواسطه ایمیل های تبلیغاتی برای قربانی ارسال میگردد، در صورت کلیک کردن کاربر بر روی آن وارد مراحل نصب می شود و به کاربر وعده بهینه سازی سیستم را می دهد.
این کار معمولا با انتقال کاربر به صفحه وب با آدرس windows-tuneup.com همراه است که در انتهای پست تصویر آن را خواهید دید.
در خلال نصب و عملکرد، این باج افزار اقدام به رمزنگاری اطلاعات موجود در درایورهای داخلی و حافظه های متصل به کامپیوتر شما می نماید.
خبر خوب اینکه این باج افزار عمر کوتاهی داشته و سرور C&C آن نیز در حال حاضر در دسترس نمی باشد اما کماکان امکان آلودگی به آن وجود دارد و خود باج افزار نیز امکان انتشار به تنهایی را دارد.
این بد افزار ابتدا بررسی میکند که نرم افزار بر روی ماشین مجازی اجرا شده است یا خیر که اگر تشخیص دهد که با یک VM روبرو شده با پیغام عدم سازگاری با کامپیوتر شما فعالیت خود را خاتمه میدهد. در غیر این صورت تلاش میکند با مرکز دستور خود ارتباط برقرار کرده و در نهایت اقدام به رمزنگاری فایل ها می نماید.
درصورت برقراری ارتباط با مرکز دستور خود کلید کد گذاری جدیدی دریافت میکند که این امر رمزگشایی فایل ها را به مراتب سخت تر می نماید.
این باج افزار هم مثل خیلی از هم کیشان خود از الگوریتم AES بهره میبرد و همچنین فایل های کد شده را با پسوند karma. ذخیره می نماید.
بررسی ویژگی های فنی karma Ransomware
در ادامه اطلاعات فنی در خصوص این باج افزار را مرور می کنیم:
نام فایل اصلی:
- Windows-TuneUp.exe
کلیدهای رجیستری مرتبط با این باج افزار:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer "auth"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ "Saffron"= "%Desktop%\\# DECRYPT MY FILES #.html"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ "Safron"= "%Desktop%\\# DECRYPT MY FILES #.txt"
اطلاعات Hash مربوط به آن:
SHA256: 6545ae2b8811884ad257a7fb25b1eb0cb63cfc66a742fa76fd44bddd05b74fe8
SHA256: cf5fda29f8e1f135aa68620ce7298e930be2cb93888e3f04c9cd0b13f5bc4092
راه های مقابله با گسترش باج افزار karma
هرچند بازیابی فایل های رمزگذاری شده توسط باج افزار کارما تقریباً غیر ممکن است اما با استفاده از نرم افزار های ضد بدافزار به روزرسانی شده، دقت بیشتر در وبگردی، استفاده از منابع دانلود مطمئن می توان ریسک آلودگی به این گونه بدافزارها را کاهش داد.
دانلود طرح پیشگیری و مقابله با انواع بد افزارها در شبکه های کامپیوتری
خدمات شرکت مهندسی شبکه پال نت در زمینه حذف بدافزارها و باج افزار ها
به منظور مشاهده بیشتر از خبرهای فناوری های جدید و اخبار تکنولوژی و امنیت و باج افزار های نوین و مطالب آموزشی امنیت شبکه به کانال تلگرام گروه ما بپیوندید.